nftables to projekt, który zapewnia filtrowanie pakietów i klasyfikację pakietów w systemie Linux
Opublikowano wydanie filtru pakietów nftables 1.0.7, które zawiera kilka ulepszeń, poprawek oraz kilka nowych funkcji.
Dla tych, którzy nie są zaznajomieni z nftables, powinniście wiedzieć, że to ujednolica interfejsy filtrowania pakietów dla IPv4, IPv6, ARP i mostowanie sieciowe (ma zastąpić iptables, ip6table, arpables i ebtables). W tym samym czasie została wydana biblioteka towarzysząca libnftnl 1.2.3, która udostępnia niskopoziomowe API do współpracy z podsystemem nf_tables.
Pakiet nftables zawiera komponenty filtru pakietów, które działają w przestrzeni użytkownika, podczas gdy na poziomie jądra podsystem nf_tables dostarcza część jądra Linuksa od wersji 3.13.
Tylko na poziomie podstawowym zapewnia wspólny interfejs niezależny od protokołu specyficzne i zapewnia podstawowe funkcje wyodrębnianie danych z pakietów, wykonywanie operacji na danych i sterowanie przepływem.
Te bezpośrednie reguły filtrowania i sterowniki specyficzne dla protokołu są one kompilowane do kodu bajtowego w przestrzeni użytkownika, po czym ten kod bajtowy jest ładowany do jądra za pomocą interfejsu Netlink i wykonywany w jądrze na specjalnej maszynie wirtualnej, która przypomina BPF (Berkeley Packet Filters).
Główne nowe funkcje Nftables 1.0.7
W tej nowej wersji, która pochodzi z nftables 1.0.7, dla systemy jądra Linux 6.2+, dodany obsługa dopasowania protokołów vxlan, geneve, gre i gretap, co pozwala prostym wyrażeniom sprawdzać nagłówki w zahermetyzowanych pakietach.
Na przykład, aby sprawdzić adres IP w nagłówku zagnieżdżonego pakietu VxLAN, możesz teraz użyć reguł (bez konieczności uprzedniego odhermetyzowania nagłówka VxLAN i powiązania filtra z interfejsem vxlan0):
Oprócz tego podkreśla się również, żeoraz zaimplementowano obsługę automatycznego scalania pozostałości po częściowym usunięciu pozycji z listy konfiguracyjnej, pozwalając na usunięcie pozycji lub części zakresu z istniejącego zakresu (wcześniej zakres można było usunąć tylko w całości).
Na przykład po usunięciu pozycji 25 z listy zestaw zawierający zakresy 24-30 i 40-50, 24, 26-30 i 40-50 pozostanie na liście. Poprawki wymagane do automatycznego scalania do pracy zostaną dostarczone w wydaniach łat dla stabilnych gałęzi jądra 5.10+.
Wyróżnia się również tym, że został dodany obsługa wyrażenia „ostatni”Że pozwala dowiedzieć się, kiedy ostatnio użyto elementu reguły lub listy konfiguracji. Ta funkcja jest obsługiwana od wersji jądra Linuksa 5.14.
Z drugiej strony podkreśla się również, że dodano nową komendę „zniszcz”. do bezwarunkowego usuwania obiektów (w przeciwieństwie do polecenia remove, nie podnosi ENOENT podczas próby usunięcia brakującego obiektu). Do działania wymaga co najmniej jądra Linux 6.3-rc.
- Dozwolone jest stosowanie stałych w set-listach. Na przykład, używając listy adresu docelowego i VLAN ID jako klucza, możesz bezpośrednio określić numer VLAN (daddr . 123):
- Dodano możliwość definiowania limitów na listach konfiguracji. Na przykład, aby zdefiniować limit ruchu dla każdego docelowego adresu IP, możesz określić .
- Zezwalaj na używanie kontaktów i zakresów w mapowaniu translacji adresów (NAT).
W końcu dla tych, którzy chcą dowiedzieć się więcej na ten temat O nowej wersji możesz sprawdzić szczegóły W poniższym linku.
Jak zainstalować nową wersję nftables 1.0.7?
Dla tych, którzy są zainteresowani uzyskaniem nowej wersji nftables 1.0.7 w tej chwili można skompilować tylko kod źródłowy w twoim systemie. Chociaż w ciągu kilku dni już skompilowane pakiety binarne będą dostępne w różnych dystrybucjach Linuksa.
Aby skompilować, musisz mieć zainstalowane następujące zależności:
Można je skompilować za pomocą:
./autogen.sh ./configure make make install
W przypadku nftables 1.0.5 pobieramy go z poniższy link. A kompilacja odbywa się za pomocą następujących poleceń:
cd nftables ./autogen.sh ./configure make make install