nftables 1.0.7 is al uitgebracht en dit is het nieuws

Darkcrizt

4 minuten

NFT-tabellen

nftables is een project dat pakketfiltering en pakketclassificatie op Linux biedt

De release van de nftables 1.0.7 pakketfilter is gepubliceerd, die wordt geleverd met enkele verbeteringen, correcties en enkele nieuwe functies.

Voor degenen die niet bekend zijn met nftables, je moet weten dat dit verenigt pakketfilterinterfaces voor IPv4, IPv6, ARP en netwerkbridging (bedoeld ter vervanging van iptables, ip6table, arptables en ebtables). Tegelijkertijd werd de begeleidende bibliotheek libnftnl 1.2.3 uitgebracht, die een low-level API biedt voor interfaces met het nf_tables-subsysteem.

Het nftables-pakket bevat pakketfiltercomponenten die werken in gebruikersruimte, terwijl op het kernelniveau het nf_tables-subsysteem een ​​deel van de Linux-kernel levert sinds versie 3.13.

Alleen op het kernniveau biedt een gemeenschappelijke interface die onafhankelijk is van een protocol specifiek en biedt de basisfuncties om gegevens uit pakketten te extraheren, gegevensbewerkingen uit te voeren en de stroom te besturen.

De directe filterregels en protocolspecifieke stuurprogramma's ze worden gecompileerd tot een bytecode in de gebruikersruimte, waarna deze bytecode in de kernel wordt geladen met behulp van de Netlink-interface en in de kernel wordt uitgevoerd in een speciale virtuele machine die lijkt op BPF (Berkeley Packet Filters).

Belangrijkste nieuwe features van Nftables 1.0.7

In deze nieuwe versie die afkomstig is van nftables 1.0.7, voor de Linux 6.2+ kernelsystemen, toegevoegd ondersteuning voor vxlan, geneve, gre en gretap protocol matching, waarmee eenvoudige uitdrukkingen headers in ingekapselde pakketten kunnen controleren.

Om bijvoorbeeld het IP-adres in de header van een genest VxLAN-pakket te controleren, kunt u nu regels gebruiken (zonder dat u eerst de VxLAN-header hoeft te unencapsuleren en het filter aan de vxlan0-interface moet binden):

Daarnaast wordt er ook op gewezen dat:en geïmplementeerde ondersteuning voor het automatisch samenvoegen van residuen na het gedeeltelijk verwijderen van een item uit de configuratielijst, het verwijderen van een item of een deel van een assortiment uit een bestaand assortiment (voorheen kon een assortiment alleen in zijn geheel worden verwijderd).

Nadat bijvoorbeeld item 25 is verwijderd uit een lijstset met de bereiken 24-30 en 40-50, blijven 24, 26-30 en 40-50 in de lijst staan. De fixes die nodig zijn om automatisch samenvoegen te laten werken, worden geleverd in patchuitgaven van de 5.10+ stabiele kerneltakken.

Het valt ook op dat het is toegevoegd ondersteuning voor de uitdrukking "laatste"Dat maakt het mogelijk om te achterhalen wanneer het element van de regel of configuratielijst voor het laatst is gebruikt. Deze functie wordt ondersteund sinds Linux-kernel 5.14.

Aan de andere kant wordt ook benadrukt dat er is een nieuw commando "vernietigen" toegevoegd om objecten onvoorwaardelijk te verwijderen (in tegenstelling tot het verwijdercommando, verhoogt het niet ENOENT bij het proberen een ontbrekend object te verwijderen). Het vereist ten minste Linux 6.3-rc kernel om te werken.

  • Het gebruik van constanten in setlists is toegestaan. Als u bijvoorbeeld een lijst met het bestemmingsadres en VLAN-ID als sleutel gebruikt, kunt u direct het VLAN-nummer specificeren (daddr . 123):
  • De mogelijkheid toegevoegd om quota op configuratielijsten te definiëren. Om bijvoorbeeld een verkeersquotum voor elk doel-IP-adres te definiëren, kunt u .
  • Sta toe dat contacten en bereiken worden gebruikt bij het in kaart brengen van adresvertaling (NAT).

Eindelijk voor diegenen die er meer over willen weten Over deze nieuwe versie kunt u de details bekijken In de volgende link.

Hoe installeer ik de nieuwe versie van nftables 1.0.7?

Voor degenen die geïnteresseerd zijn in het kunnen krijgen van de nieuwe versie van nftables 1.0.7 momenteel kan alleen de broncode worden gecompileerd op uw systeem. Hoewel binnen een paar dagen de reeds gecompileerde binaire pakketten beschikbaar zullen zijn binnen de verschillende Linux-distributies.

Om te compileren, moet u de volgende afhankelijkheden hebben geïnstalleerd:

Deze kunnen worden samengesteld met:

./autogen.sh
./configure
make
make install

En voor nftables 1.0.5 downloaden we het van de volgende link. En de compilatie wordt gedaan met de volgende opdrachten:

cd nftables
./autogen.sh
./configure
make
make install

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.