nftables je projekt, ktorý poskytuje filtrovanie paketov a klasifikáciu paketov v systéme Linux
Bolo zverejnené vydanie filtra paketov nftables 1.0.7, ktoré prichádza s niektorými vylepšeniami, opravami a tiež s niektorými novými funkciami.
Pre tých, ktorí nie sú oboznámení s nftables, mali by ste vedieť, že toto zjednocuje rozhrania na filtrovanie paketov pre IPv4, IPv6, ARP a sieťové premostenie (zamýšľané nahradiť iptables, ip6table, arptables a ebtables). V rovnakom čase bola vydaná sprievodná knižnica libnftnl 1.2.3, ktorá poskytuje nízkoúrovňové API na prepojenie so subsystémom nf_tables.
Balíček nftables obsahuje komponenty paketového filtra, ktoré pracujú v užívateľskom priestore, zatiaľ čo na úrovni jadra poskytuje podsystém nf_tables časť jadra systému Linux od verzie 3.13.
Iba na základnej úrovni poskytuje spoločné rozhranie, ktoré je nezávislé od protokolu konkrétne a poskytuje základné funkcie extrahovať údaje z paketov, vykonávať dátové operácie a riadiť tok.
L pravidlá priameho filtrovania a ovládače špecifické pre protokol sú kompilované do bytecode v užívateľskom priestore, po ktorom je tento bytecode zavedený do jadra pomocou rozhrania Netlink a vykonaný v jadre na špeciálnom virtuálnom stroji, ktorý pripomína BPF (Berkeley Packet Filters).
Hlavné nové funkcie Nftables 1.0.7
V tejto novej verzii, ktorá pochádza z nftables 1.0.7, pre systémy jadra Linux 6.2+, pridané podpora pre porovnávanie protokolov vxlan, geneve, gre a gretap, čo umožňuje jednoduchým výrazom kontrolovať hlavičky v zapuzdrených paketoch.
Napríklad, ak chcete skontrolovať IP adresu v hlavičke vnoreného paketu VxLAN, môžete teraz použiť pravidlá (bez toho, aby ste museli najprv rozbaliť hlavičku VxLAN a naviazať filter na rozhranie vxlan0):
Okrem toho sa zdôrazňuje aj toa implementovala podporu automatického zlučovania zvyškov po čiastočnom odstránení položky zo zoznamu konfigurácie, čo umožňuje odstránenie položky alebo časti rozsahu z existujúceho rozsahu (predtým bolo možné rozsah odstrániť iba celý).
Napríklad po odstránení položky 25 zo sady zoznamov s rozsahmi 24-30 a 40-50 zostanú v zozname 24, 26-30 a 40-50. Opravy potrebné na fungovanie automatického zlučovania budú poskytnuté vo vydaniach opráv stabilných vetiev jadra 5.10+.
Vyniká tiež tým, že bol pridaný podpora výrazu "posledný"Že umožňuje zistiť, kedy bol naposledy použitý prvok zoznamu pravidiel alebo konfigurácií. Táto funkcia je podporovaná od jadra Linuxu 5.14.
Na druhej strane sa tiež zdôrazňuje, že bol pridaný nový príkaz „zničiť“. na bezpodmienečné odstránenie objektov (na rozdiel od príkazu remove nezvyšuje ENOENT pri pokuse o odstránenie chýbajúceho objektu). Na fungovanie si vyžaduje aspoň jadro Linuxu 6.3-rc.
- Použitie konštánt v set-listoch je povolené. Napríklad pomocou zoznamu cieľovej adresy a VLAN ID ako kľúča môžete priamo zadať číslo VLAN (daddr. 123):
- Pridaná možnosť definovať kvóty na konfiguračných zoznamoch. Ak chcete napríklad definovať kvótu návštevnosti pre každú cieľovú adresu IP, môžete zadať .
- Povoliť používanie kontaktov a rozsahov pri mapovaní prekladu adries (NAT).
Konečne pre tých, ktorí majú záujem dozvedieť sa viac O tejto novej verzii môžete skontrolovať podrobnosti Na nasledujúcom odkaze.
Ako nainštalovať novú verziu súborov nftables 1.0.7?
Pre tých, ktorí majú záujem získať novú verziu nftables 1.0.7 momentálne je možné zostaviť iba zdrojový kód vo vašom systéme. Aj keď za pár dní budú už kompilované binárne balíčky dostupné v rámci rôznych distribúcií Linuxu.
Na kompiláciu musíte mať nainštalované nasledujúce závislosti:
Môžu byť zostavené s:
./autogen.sh ./configure make make install
A pre súbory nftables 1.0.5 si ich sťahujeme z nasledujúci odkaz. A kompilácia sa vykonáva pomocou nasledujúcich príkazov:
cd nftables ./autogen.sh ./configure make make install