nftables — это проект, обеспечивающий фильтрацию и классификацию пакетов в Linux.
Опубликован релиз пакетного фильтра nftables 1.0.7, который содержит некоторые улучшения, исправления, а также некоторые новые функции.
Для тех, кто не знаком с nftables, вы должны знать, что это унифицирует интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевой мост (предназначен для замены iptables, ip6table, arptables и ebtables). В то же время была выпущена сопутствующая библиотека libnftnl 1.2.3, предоставляющая низкоуровневый API для взаимодействия с подсистемой nf_tables.
Пакет nftables включает компоненты фильтра пакетов, которые работают в пользовательском пространстве, в то время как на уровне ядра подсистема nf_tables предоставляет часть ядра Linux, начиная с версии 3.13.
На базовом уровне только предоставляет общий интерфейс, не зависящий от протокола конкретный и предоставляет основные функции для извлечения данных из пакетов, выполнения операций с данными и управления потоком.
Лас- правила прямой фильтрации и драйверы для конкретных протоколов они компилируются в байт-код в пользовательском пространстве, после чего этот байт-код загружается в ядро с помощью интерфейса Netlink и выполняется в ядре на специальной виртуальной машине, которая напоминает BPF (фильтры пакетов Berkeley).
Основные новые функции Nftables 1.0.7
В этой новой версии nftables 1.0.7 для Системы ядра Linux 6.2+, добавлен поддержка сопоставления протоколов vxlan, geneve, gre и gretap, что позволяет простым выражениям проверять заголовки в инкапсулированных пакетах.
Например, для проверки IP-адреса в заголовке вложенного пакета VxLAN теперь можно использовать правила (без необходимости предварительной деинкапсуляции заголовка VxLAN и привязки фильтра к интерфейсу vxlan0):
В дополнение к этому также подчеркивается, чтои реализована поддержка автоматического объединения остатков после частичного удаления элемента из списка конфигурации, позволяющее удалить элемент или часть диапазона из существующего диапазона (ранее диапазон можно было удалить только целиком).
Например, после удаления элемента 25 из набора списков с диапазонами 24-30 и 40-50 в списке останутся 24, 26-30 и 40-50. Исправления, необходимые для работы автоматического слияния, будут предоставлены в выпусках исправлений стабильных ветвей ядра 5.10+.
Также отмечается, что было добавлено поддержка выражения «последний»что позволяет узнать, когда в последний раз использовался элемент правила или списка конфигурации. Эта функция поддерживается, начиная с ядра Linux 5.14.
С другой стороны, также подчеркивается, что добавлена новая команда «уничтожить» для безусловного удаления объектов (в отличие от команды remove, она не вызывает ENOENT при попытке удалить отсутствующий объект). Для работы требуется как минимум ядро Linux 6.3-rc.
- Допускается использование констант в сет-листах. Например, используя в качестве ключа список адреса назначения и VLAN ID, можно напрямую указать номер VLAN (daddr. 123):
- Добавлена возможность определять квоты для списков конфигурации. Например, чтобы определить квоту трафика для каждого IP-адреса назначения, вы можете указать .
- Разрешить использование контактов и диапазонов в преобразовании адресов (NAT).
В конце концов для тех, кто хочет узнать об этом больше Об этой новой версии вы можете проверить подробности По следующей ссылке.
Как установить новую версию nftables 1.0.7?
Для тех, кто заинтересован в возможности получить новую версию nftables 1.0.7 на данный момент можно скомпилировать только исходный код в вашей системе. Хотя через несколько дней уже скомпилированные бинарные пакеты будут доступны в разных дистрибутивах Linux.
Для компиляции у вас должны быть установлены следующие зависимости:
Их можно скомпилировать с помощью:
./autogen.sh ./configure make make install
А для nftables 1.0.5 скачиваем с следующая ссылка. А компиляция выполняется с помощью следующих команд:
cd nftables ./autogen.sh ./configure make make install