nftables yra projektas, teikiantis paketų filtravimą ir paketų klasifikavimą Linux sistemoje
Paskelbtas nftables 1.0.7 paketų filtro leidimas, kuriame yra keletas patobulinimų, pataisymų ir kai kurių naujų funkcijų.
Tiems, kurie nėra susipažinę su nftables, turėtumėte žinoti, kad tai suvienija IPv4 paketų filtravimo sąsajas, IPv6, ARP ir tinklo tiltas (skirtas pakeisti iptables, ip6table, arptables ir ebtables). Tuo pačiu metu buvo išleista libnftnl 1.2.3 biblioteka, kuri suteikia žemo lygio API sąsajai su nf_tables posistemiu.
„Nftables“ paketas apima paketinių filtrų komponentus, kurie veikia vartotojo erdvėje, branduolio lygiu posistemis „nf_tables“ teikia dalį „Linux“ branduolio nuo 3.13 versijos.
Tik pagrindiniame lygyje suteikia bendrą, nuo protokolo nepriklausomą sąsają konkretus ir pateikia pagrindinės funkcijos išgauti duomenis iš paketų, atlikti duomenų operacijas ir valdyti srautą.
The tiesioginio filtravimo taisyklės ir konkretaus protokolo tvarkyklės jie sukomponuojami į vartotojo erdvės baitą, po kurio šis baitinis kodas įkeliamas į branduolį naudojant „Netlink“ sąsają ir vykdomas branduolyje specialioje virtualioje mašinoje, panašioje į BPF („Berkeley Packet Filters“).
Pagrindinės naujos „Nftables 1.0.7“ funkcijos
Šioje naujoje versijoje, kuri gaunama iš nftables 1.0.7, skirta Linux 6.2+ branduolio sistemos, pridėta vxlan, geneve, gre ir gretap protokolų suderinimo palaikymas, kuri leidžia paprastomis išraiškomis patikrinti antraštes inkapsuliuotuose paketuose.
Pavyzdžiui, norėdami patikrinti IP adresą įdėto VxLAN paketo antraštėje, dabar galite naudoti taisykles (nereikia iš anksto išpakuoti VxLAN antraštės ir susieti filtrą su vxlan0 sąsaja):
Be to, taip pat pabrėžiama, kadir įdiegta parama automatiniam likučių sujungimui iš dalies pašalinus elementą iš konfigūracijų sąrašo, leidžiant elementą ar diapazono dalį pašalinti iš esamo diapazono (anksčiau diapazoną buvo galima pašalinti tik visą).
Pavyzdžiui, pašalinus 25 elementą iš sąrašo, kuriame yra 24–30 ir 40–50, 24, 26–30 ir 40–50 diapazonai, sąraše liks. Pataisos, reikalingos, kad automatinis sujungimas veiktų, bus pateiktos 5.10+ stabilių branduolio šakų pataisų leidimuose.
Taip pat išsiskiria tuo, kad buvo pridėta palaikymas posakiui "paskutinis"Kad leidžia sužinoti, kada paskutinį kartą buvo naudojamas taisyklės arba konfigūracijos sąrašo elementas. Ši funkcija palaikoma nuo Linux branduolio 5.14 versijos.
Kita vertus, taip pat pabrėžiama, kad buvo pridėta nauja komanda „sunaikinti“. besąlygiškai pašalinti objektus (skirtingai nei pašalinimo komanda, ji nekelia ENOENT bandant pašalinti trūkstamą objektą). Kad veiktų, reikalingas bent Linux 6.3-rc branduolys.
- Leidžiama naudoti konstantas rinkinių sąrašuose. Pavyzdžiui, naudodami paskirties adreso sąrašą ir VLAN ID kaip raktą, galite tiesiogiai nurodyti VLAN numerį (daddr . 123):
- Pridėta galimybė apibrėžti kvotas konfigūracijos sąrašuose. Pavyzdžiui, norėdami apibrėžti srauto kvotą kiekvienam paskirties IP adresui, galite nurodyti .
- Leisti kontaktus ir diapazonus naudoti adresų vertimo (NAT) atvaizdavime.
Pagaliau norintiems sužinoti apie tai daugiau Apie šią naują versiją galite patikrinti išsamią informaciją Šioje nuorodoje.
Kaip įdiegti naują „nftables 1.0.7“ versiją?
Tiems, kurie domisi galimybe gauti naują nftables 1.0.7 versiją šiuo metu galima sudaryti tik šaltinio kodą jūsų sistemoje. Nors per kelias dienas jau sukompiliuoti dvejetainiai paketai bus prieinami skirtinguose „Linux“ paskirstymuose.
Norėdami sudaryti, turite turėti šias priklausomybes:
Juos galima sudaryti:
./autogen.sh ./configure make make install
O „nftables 1.0.5“ atsisiunčiame iš šią nuorodą. Kompiliavimas atliekamas naudojant šias komandas:
cd nftables ./autogen.sh ./configure make make install