nftables הוא פרויקט המספק סינון מנות וסיווג מנות בלינוקס
פורסם שחרורו של מסנן החבילות nftables 1.0.7, שמגיע עם כמה שיפורים, תיקונים כמו גם כמה תכונות חדשות.
למי שלא מכיר nftables, אתה צריך לדעת שזה מאחד ממשקי סינון מנות עבור IPv4, IPv6, ARP וגישור רשת (נועדו להחליף iptables, ip6table, arptables ו-ebtables). במקביל, שוחררה הספרייה המלווה libnftnl 1.2.3, המספקת API ברמה נמוכה להתממשקות עם תת-המערכת nf_tables.
חבילת nftables כולל רכיבי מסנן מנות שעובדים במרחב המשתמשים, בעוד שברמת הליבה, מערכת המשנה nf_tables מספקת חלק מליבת הלינוקס מאז גרסה 3.13.
ברמת הליבה, בלבד מספק ממשק משותף שאינו תלוי בפרוטוקול ספציפי ומספק את פונקציות בסיסיות כדי לחלץ נתונים ממנות, לבצע פעולות נתונים ולשלוט בזרימה.
לאס כללי סינון ישירים ומנהלי התקן ספציפיים הם מחוברים לקוד-בתים במרחב המשתמשים, ולאחר מכן קוד-קוד זה נטען לתוך הליבה באמצעות ממשק Netlink ומבוצע בגרעין במכונה וירטואלית מיוחדת הדומה ל- BPF (Berkeley Packet Filters).
התכונות החדשות העיקריות של Nftables 1.0.7
בגרסה החדשה הזו שמגיעה מ-nftables 1.0.7, עבור ה Linux 6.2+ מערכות ליבה, הוסיף תמיכה בהתאמת פרוטוקול vxlan, geneve, gre ו-gretap, מה שמאפשר לביטויים פשוטים לבדוק כותרות במנות מובלעות.
לדוגמה, כדי לבדוק את כתובת ה-IP בכותרת של חבילת VxLAN מקוננת, כעת תוכל להשתמש בכללים (ללא צורך לבטל תחילה את הקיפול של כותרת VxLAN ולאגד את המסנן לממשק vxlan0):
בנוסף לכך, מודגש גם כיוהטמיע תמיכה למיזוג אוטומטי של שאריות לאחר הסרה חלקית של פריט מרשימת התצורה, מתן אפשרות להסיר פריט או חלק מטווח מטווח קיים (בעבר, ניתן היה להסיר טווח רק בשלמותו).
לדוגמה, לאחר הסרת פריט 25 מקבוצת רשימה עם טווחים 24-30 ו-40-50, 24, 26-30 ו-40-50 יישארו ברשימה. התיקונים הנדרשים למיזוג אוטומטי לעבודה יסופקו במהדורות תיקון של ענפי הליבה היציבים 5.10+.
יצוין גם שהוא נוסף תמיכה בביטוי "אחרון"כי מאפשר לגלות את הפעם האחרונה שבה נעשה שימוש ברכיב של הכלל או ברשימת התצורה. תכונה זו נתמכת מאז ליבת לינוקס 5.14.
מצד שני, זה גם מודגש נוספה פקודת "השמד" חדשה להסיר אובייקטים ללא תנאי (בניגוד לפקודת remove, זה לא מעלה את ENOENT כשמנסים להסיר אובייקט חסר). זה דורש לפחות ליבת Linux 6.3-rc כדי לעבוד.
- מותר להשתמש בקבועים ברשימות סטים. לדוגמה, באמצעות רשימה של כתובת היעד ומזהה VLAN כמפתח, תוכל לציין ישירות את מספר ה-VLAN (daddr. 123):
- נוספה היכולת להגדיר מכסות ברשימות תצורה. לדוגמה, כדי להגדיר מכסת תעבורה עבור כל כתובת IP של יעד, אתה יכול לציין .
- אפשר להשתמש באנשי קשר ובטווחים במיפוי תרגום כתובות (NAT).
בסופו של דבר למעוניינים לדעת יותר על כך על הגרסה החדשה הזו, תוכלו לבדוק את הפרטים בקישור הבא.
כיצד להתקין את הגרסה החדשה של nftables 1.0.7?
למי שמעוניין לקבל את הגרסה החדשה של nftables 1.0.7 כרגע ניתן לקמפל רק את קוד המקור במערכת שלך. אמנם תוך מספר ימים החבילות הבינאריות שכבר הורכבו יהיו זמינות בהפצות לינוקס השונות.
כדי לקמפל, עליך להתקין את התלות הבאה:
אלה יכולים להיות מורכבים עם:
./autogen.sh ./configure make make install
ובשביל nftables 1.0.5 אנו מורידים אותו מ הקישור הבא. והלקט נעשה באמצעות הפקודות הבאות:
cd nftables ./autogen.sh ./configure make make install