nftables 1.0.7 já foi lançado e estas são as suas novidades

Tabelas NFT

nftables é um projeto que fornece filtragem e classificação de pacotes no Linux

Foi publicado o lançamento do filtro de pacotes nftables 1.0.7, que vem com algumas melhorias, correções, bem como alguns novos recursos.

Para aqueles não familiarizados com nftables, você deve saber que este unifica interfaces de filtragem de pacotes para IPv4, IPv6, ARP e ponte de rede (destinado a substituir iptables, ip6table, arptables e ebtables). Ao mesmo tempo, foi lançada a biblioteca complementar libnftnl 1.2.3, que fornece uma API de baixo nível para interface com o subsistema nf_tables.

O pacote nftables inclui componentes de filtro de pacote que funcionam no espaço do usuário, enquanto no nível do kernel, o subsistema nf_tables fornece uma parte do kernel do Linux desde a versão 3.13.

No nível central, apenas fornece uma interface comum que é independente de um protocolo específico e fornece o funções básicas para extrair dados de pacotes, realizar operações de dados e controlar o fluxo.

Os regras de filtragem direta e drivers específicos de protocolo eles são compilados em um bytecode no espaço do usuário, após o qual esse bytecode é carregado no kernel usando a interface Netlink e executado no kernel em uma máquina virtual especial que se assemelha ao BPF (Berkeley Packet Filters).

Principais novos recursos do Nftables 1.0.7

Nesta nova versão que vem do nftables 1.0.7, para o Sistemas de kernel Linux 6.2+, adicionado suporte para correspondência de protocolo vxlan, geneve, gre e gretap, que permite expressões simples para verificar cabeçalhos em pacotes encapsulados.

Por exemplo, para verificar o endereço IP no cabeçalho de um pacote VxLAN aninhado, agora você pode usar regras (sem a necessidade de primeiro desencapsular o cabeçalho VxLAN e vincular o filtro à interface vxlan0):

Além disso, destaca-se também quee suporte implementado para fusão automática de resíduos após a remoção parcial de um item da lista de configuração, permitindo que um item ou parte de um intervalo seja removido de um intervalo existente (anteriormente, um intervalo só poderia ser removido em sua totalidade).

Por exemplo, após remover o item 25 de uma lista definida com os intervalos 24-30 e 40-50, 24, 26-30 e 40-50 permanecerá na lista. As correções necessárias para que a fusão automática funcione serão fornecidas em versões de patch das ramificações estáveis ​​do kernel 5.10+.

Também se destaca que foi adicionado suporte para a expressão "último"o que permite saber a última vez que o elemento da regra ou lista de configuração foi usado. Este recurso é suportado desde o kernel Linux 5.14.

Por outro lado, destaca-se também que um novo comando “destroy” foi adicionado para remover objetos incondicionalmente (ao contrário do comando remove, ele não gera ENOENT ao tentar remover um objeto ausente). Requer pelo menos o kernel Linux 6.3-rc para funcionar.

  • O uso de constantes em set-lists é permitido. Por exemplo, usando uma lista do endereço de destino e ID da VLAN como chave, você pode especificar diretamente o número da VLAN (daddr . 123):
  • Adicionada a capacidade de definir cotas nas listas de configuração. Por exemplo, para definir uma cota de tráfego para cada endereço IP de destino, você pode especificar .
  • Permita que contatos e intervalos sejam usados ​​no mapeamento de conversão de endereços (NAT).

Finalmente para aqueles interessados ​​em saber mais sobre isso Sobre esta nova versão, você pode verificar os detalhes no link a seguir.

Como instalar a nova versão do nftables 1.0.7?

Para quem estiver interessado em poder obter a nova versão do nftables 1.0.7 no momento, apenas o código fonte pode ser compilado em seu sistema. Embora em questão de dias os pacotes binários já compilados estarão disponíveis nas diferentes distribuições do Linux.

Para compilar, você deve ter as seguintes dependências instaladas:

Eles podem ser compilados com:

./autogen.sh
./configure
make
make install

E para nftables 1.0.5 nós baixamos de o seguinte link. E a compilação é feita com os seguintes comandos:

cd nftables
./autogen.sh
./configure
make
make install

Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.