nftables ialah projek yang menyediakan penapisan paket dan klasifikasi paket di Linux
Keluaran penapis paket nftables 1.0.7 telah diterbitkan, yang disertakan dengan beberapa penambahbaikan, pembetulan serta beberapa ciri baharu.
Bagi mereka yang tidak biasa dengan nftables, anda harus tahu bahawa ini menyatukan antara muka penapisan paket untuk IPv4, IPv6, ARP dan penyambungan rangkaian (bertujuan untuk menggantikan iptables, ip6table, arptables dan ebtables). Pada masa yang sama, perpustakaan pendamping libnftnl 1.2.3 telah dikeluarkan, yang menyediakan API peringkat rendah untuk antara muka dengan subsistem nf_tables.
Pakej nftables merangkumi komponen penapis paket yang berfungsi di ruang pengguna, sementara di peringkat kernel, subsistem nf_tables menyediakan sebahagian daripada kernel Linux sejak versi 3.13.
Pada peringkat teras, hanya menyediakan antara muka umum yang bebas daripada protokol spesifik dan menyediakan fungsi asas untuk mengekstrak data dari paket, melakukan operasi data dan mengawal aliran.
yang peraturan penapisan langsung dan pemacu khusus protokol mereka dikompilasi menjadi bytecode di ruang pengguna, setelah itu bytecode ini dimuat ke dalam kernel menggunakan antara muka Netlink dan dijalankan di kernel dalam mesin maya khas yang menyerupai BPF (Berkeley Packet Filters).
Ciri baru utama Nftables 1.0.7
Dalam versi baharu ini yang datang daripada nftables 1.0.7, untuk Sistem kernel Linux 6.2+, tambah sokongan untuk padanan protokol vxlan, geneve, gre dan gretap, yang membenarkan ungkapan mudah untuk menyemak pengepala dalam paket berkapsul.
Sebagai contoh, untuk menyemak alamat IP dalam pengepala paket VxLAN bersarang, anda kini boleh menggunakan peraturan (tanpa perlu terlebih dahulu menyahkapsulkan pengepala VxLAN dan mengikat penapis ke antara muka vxlan0):
Di samping itu, ia juga ditonjolkan bahawadan melaksanakan sokongan untuk penggabungan automatik sisa selepas penyingkiran separa item daripada senarai konfigurasi, membenarkan item atau sebahagian daripada julat dialih keluar daripada julat sedia ada (sebelum ini, julat hanya boleh dialih keluar secara keseluruhannya).
Contohnya, selepas mengalih keluar item 25 daripada set senarai dengan julat 24-30 dan 40-50, 24, 26-30 dan 40-50 akan kekal dalam senarai. Pembaikan yang diperlukan untuk penggabungan automatik untuk berfungsi akan disediakan dalam keluaran tampalan 5.10+ cawangan kernel yang stabil.
Ia juga menonjolkan bahawa ia telah ditambahkan sokongan untuk ungkapan "terakhir"Itu membolehkan untuk mengetahui kali terakhir elemen peraturan atau senarai konfigurasi digunakan. Ciri ini telah disokong sejak kernel Linux 5.14.
Sebaliknya, ia juga diketengahkan arahan "musnahkan" baharu telah ditambah untuk mengalih keluar objek tanpa syarat (tidak seperti arahan alih keluar, ia tidak menaikkan ENOENT apabila cuba mengalih keluar objek yang hilang). Ia memerlukan sekurang-kurangnya kernel Linux 6.3-rc untuk berfungsi.
- Penggunaan pemalar dalam senarai set dibenarkan. Sebagai contoh, menggunakan senarai alamat destinasi dan ID VLAN sebagai kunci, anda boleh menentukan terus nombor VLAN (daddr . 123):
- Menambah keupayaan untuk menentukan kuota pada senarai konfigurasi. Sebagai contoh, untuk menentukan kuota trafik bagi setiap alamat IP destinasi, anda boleh menentukan .
- Benarkan kenalan dan julat digunakan dalam pemetaan terjemahan alamat (NAT).
Akhirnya bagi mereka yang berminat untuk mengetahui lebih lanjut mengenainya Mengenai versi baru ini, anda boleh menyemak perinciannya Dalam pautan berikut.
Bagaimana cara memasang versi baru nftables 1.0.7?
Bagi mereka yang berminat untuk mendapatkan versi baru nftables 1.0.7 pada masa ini hanya kod sumber yang dapat disusun pada sistem anda. Walaupun dalam beberapa hari, pakej binari yang telah disusun akan tersedia dalam sebaran Linux yang berbeza.
Untuk menyusun, anda mesti memasang pergantungan berikut:
Ini boleh disusun dengan:
./autogen.sh ./configure make make install
Dan untuk nftables 1.0.5 kami memuat turunnya dari pautan berikut. Dan penyusunannya dilakukan dengan arahan berikut:
cd nftables ./autogen.sh ./configure make make install