nftables ir projekts, kas nodrošina pakešu filtrēšanu un pakešu klasifikāciju operētājsistēmā Linux
Ir publicēts nftables 1.0.7 pakešu filtra izlaidums, kurā ir daži uzlabojumi, labojumi, kā arī dažas jaunas funkcijas.
Tiem, kas nav pazīstami ar nftables, jums jāzina, ka šis apvieno pakešu filtrēšanas saskarnes IPv4, IPv6, ARP un tīkla tilts (paredzēts, lai aizstātu iptables, ip6table, arptables un ebtables). Tajā pašā laikā tika izlaista libnftnl 1.2.3 pavadošā bibliotēka, kas nodrošina zema līmeņa API saskarnei ar apakšsistēmu nf_tables.
Nftables pakete ietver pakešu filtru komponentus, kas darbojas lietotāja telpā, kamēr kodola līmenī nf_tables apakšsistēma nodrošina Linux kodola daļu kopš 3.13 versijas.
Tikai pamata līmenī nodrošina kopēju interfeisu, kas nav atkarīgs no protokola specifisks un nodrošina pamatfunkcijas iegūt datus no paketēm, veikt datu darbības un kontrolēt plūsmu.
the tiešie filtrēšanas noteikumi un protokoliem raksturīgie draiveri tie tiek apkopoti lietotāja telpā esošajā baitkodā, pēc kura šis baitkods tiek ielādēts kodolā, izmantojot Netlink saskarni, un izpildīts kodolā īpašā virtuālā mašīnā, kas līdzinās BPF (Berkeley pakešu filtri).
Nftables 1.0.7 galvenās jaunās iespējas
Šajā jaunajā versijā, kas nāk no nftables 1.0.7, paredzēta Linux 6.2+ kodola sistēmas, pievienots atbalsts vxlan, geneve, gre un gretap protokolu saskaņošanai, kas ļauj vienkāršām izteiksmēm pārbaudīt galvenes iekapsulētās paketēs.
Piemēram, lai pārbaudītu IP adresi ligzdotas VxLAN paketes galvenē, tagad varat izmantot noteikumus (bez nepieciešamības vispirms atkapsulēt VxLAN galveni un saistīt filtru ar vxlan0 interfeisu):
Papildus tam tiek uzsvērts arī tasun ieviests atbalsts automātiskai atlieku sapludināšanai pēc daļējas vienuma noņemšanas no konfigurācijas saraksta, ļaujot noņemt vienumu vai diapazona daļu no esoša diapazona (iepriekš diapazonu varēja noņemt tikai pilnībā).
Piemēram, pēc 25. vienuma noņemšanas no saraksta, kas iestatīts diapazonā no 24–30 un 40–50, 24, 26–30 un 40–50, paliks sarakstā. Labojumi, kas nepieciešami, lai automātiskā sapludināšana darbotos, tiks nodrošināti 5.10+ stabilo kodola atzaru ielāpu laidienos.
Izceļas arī tas, ka tas tika pievienots atbalsts izteicienam "pēdējais", tas ļauj noskaidrot pēdējo reizi, kad tika izmantots kārtulas vai konfigurācijas saraksta elements. Šī funkcija tiek atbalstīta kopš Linux kodola 5.14.
No otras puses, ir arī uzsvērts, ka ir pievienota jauna komanda "iznīcināt". lai bez nosacījumiem noņemtu objektus (atšķirībā no noņemšanas komandas, tā nepaaugstina ENOENT, mēģinot noņemt trūkstošo objektu). Lai tas darbotos, ir nepieciešams vismaz Linux 6.3-rc kodols.
- Ir atļauts izmantot konstantes kopu sarakstos. Piemēram, izmantojot galamērķa adreses sarakstu un VLAN ID kā atslēgu, varat tieši norādīt VLAN numuru (daddr . 123):
- Pievienota iespēja definēt kvotas konfigurācijas sarakstos. Piemēram, lai definētu trafika kvotu katrai galamērķa IP adresei, varat norādīt .
- Adrešu tulkošanas (NAT) kartēšanā atļaut izmantot kontaktpersonas un diapazonus.
Beidzot tiem, kurus interesē uzzināt vairāk par to Par šo jauno versiju varat pārbaudīt informāciju Šajā saitē.
Kā instalēt jauno nftables 1.0.7 versiju?
Tiem, kurus interesē iespēja iegūt jauno nftables 1.0.7 versiju šobrīd var apkopot tikai pirmkodu jūsu sistēmā. Lai gan dažu dienu laikā jau sastādītās binārās paketes būs pieejamas dažādos Linux izplatījumos.
Lai apkopotu, ir jābūt instalētām šādām atkarībām:
Tos var apkopot ar:
./autogen.sh ./configure make make install
Un nftables 1.0.5 mēs to lejupielādējam no šo saiti. Kompilācija tiek veikta ar šādām komandām:
cd nftables ./autogen.sh ./configure make make install