nftables este un proiect care oferă filtrare și clasificare a pachetelor pe Linux
A fost publicată lansarea filtrului de pachete nftables 1.0.7, care vine cu unele îmbunătățiri, corecții, precum și câteva funcții noi.
Pentru cei care nu sunt familiarizați cu nftables, ar trebui să știți că acest lucru unifică interfețele de filtrare a pachetelor pentru IPv4, IPv6, ARP și legătura de rețea (destinat să înlocuiască iptables, ip6table, arptables și ebtables). În același timp, a fost lansată biblioteca însoțitoare libnftnl 1.2.3, care oferă un API de nivel scăzut pentru interfața cu subsistemul nf_tables.
Pachetul nftables include componente de filtrare a pachetelor care funcționează în spațiul utilizatorului, în timp ce la nivel de nucleu, subsistemul nf_tables oferă o parte din nucleul Linux de la versiunea 3.13.
Numai la nivel de bază oferă o interfață comună, care este independentă de un protocol specific și oferă funcții de bază pentru a extrage date din pachete, a efectua operațiuni de date și a controla fluxul.
Las reguli de filtrare directă și drivere specifice protocolului acestea sunt compilate într-un bytecode în spațiul utilizatorului, după care acest bytecode este încărcat în kernel utilizând interfața Netlink și executat în kernel într-o mașină virtuală specială care seamănă cu BPF (Berkeley Packet Filters).
Principalele caracteristici noi ale Nftables 1.0.7
În această nouă versiune care vine de la nftables 1.0.7, pentru sisteme de nucleu Linux 6.2+, adăugat suport pentru potrivirea protocoalelor vxlan, geneve, gre și gretap, care permite expresiilor simple să verifice anteturile din pachetele încapsulate.
De exemplu, pentru a verifica adresa IP din antetul unui pachet VxLAN imbricat, acum puteți utiliza reguli (fără a fi nevoie să decapsulați mai întâi antetul VxLAN și să legați filtrul la interfața vxlan0):
Pe lângă aceasta, se subliniază și faptul căși a implementat suport pentru îmbinarea automată a reziduurilor după eliminarea parțială a unui articol din lista de configurare, permițând ca un articol sau o parte dintr-un interval să fie eliminat dintr-un interval existent (anterior, un interval putea fi eliminat doar în întregime).
De exemplu, după eliminarea articolului 25 dintr-un set de liste cu intervale 24-30 și 40-50, 24, 26-30 și 40-50 va rămâne în listă. Remedierile necesare pentru fuziunea automată pentru a funcționa vor fi furnizate în versiunile de corecții ale ramurilor stabile ale nucleului 5.10+.
De asemenea, se remarcă faptul că a fost adăugat suport pentru expresia „ultimul”Că permite să aflați ultima dată când a fost folosit elementul din regulă sau din lista de configurare. Această caracteristică este acceptată începând cu kernel-ul Linux 5.14.
Pe de altă parte, se evidențiază și faptul că a fost adăugată o nouă comandă „distruge”. pentru a elimina obiecte necondiționat (spre deosebire de comanda de eliminare, nu ridică ENOENT atunci când încearcă să elimini un obiect lipsă). Necesită cel puțin nucleul Linux 6.3-rc pentru a funcționa.
- Este permisă utilizarea constantelor în set-listuri. De exemplu, folosind o listă cu adresa de destinație și ID-ul VLAN ca cheie, puteți specifica direct numărul VLAN (daddr. 123):
- S-a adăugat posibilitatea de a defini cote pe listele de configurare. De exemplu, pentru a defini o cotă de trafic pentru fiecare adresă IP de destinație, puteți specifica .
- Permiteți ca contactele și zonele să fie utilizate în maparea traducerii adreselor (NAT).
În cele din urmă pentru cei interesați să afle mai multe despre asta Despre această nouă versiune, puteți verifica detaliile În următorul link.
Cum se instalează noua versiune de nftables 1.0.7?
Pentru cei care sunt interesați să poată obține noua versiune a nftables 1.0.7 momentan poate fi compilat doar codul sursă pe sistemul dvs. Deși în câteva zile pachetele binare deja compilate vor fi disponibile în cadrul diferitelor distribuții Linux.
Pentru a compila, trebuie să aveți următoarele dependențe instalate:
Acestea pot fi compilate cu:
./autogen.sh ./configure make make install
Și pentru nftables 1.0.5 îl descărcăm de la următorul link. Și compilarea se face cu următoarele comenzi:
cd nftables ./autogen.sh ./configure make make install