nftables je projekt, ki zagotavlja filtriranje paketov in klasifikacijo paketov v sistemu Linux
Objavljena je bila izdaja paketnega filtra nftables 1.0.7, ki vsebuje nekaj izboljšav, popravkov in nekaj novih funkcij.
Za tiste, ki niso seznanjeni z nftables, morate vedeti, da je to poenoti vmesnike za filtriranje paketov za IPv4, IPv6, ARP in omrežno premoščanje (namenjeno zamenjavi iptables, ip6table, arptables in ebtables). Istočasno je bila izdana spremljevalna knjižnica libnftnl 1.2.3, ki ponuja API nizke ravni za povezovanje s podsistemom nf_tables.
Paket nftables vključuje komponente paketnega filtra, ki delujejo v uporabniškem prostoru, medtem ko je na ravni jedra podsistem nf_tables del jedra Linuxa od različice 3.13.
Samo na osnovni ravni ponuja skupni vmesnik, ki je neodvisen od protokola in zagotavlja osnovne funkcije za pridobivanje podatkov iz paketov, izvajanje podatkovnih operacij in nadzor pretoka.
The pravila neposrednega filtriranja in gonilnike, specifične za protokol v uporabniškem prostoru se zberejo v bajtno kodo, nato pa se ta bajto koda naloži v jedro z uporabo vmesnika Netlink in izvede v jedru v posebnem navideznem stroju, ki spominja na BPF (Berkeley Packet Filters).
Glavne novosti Nftables 1.0.7
V tej novi različici, ki prihaja iz nftables 1.0.7, za sistemi jedra Linux 6.2+, dodano podpora za ujemanje protokolov vxlan, geneve, gre in gretap, ki omogoča preproste izraze za preverjanje glav v inkapsuliranih paketih.
Na primer, če želite preveriti naslov IP v glavi ugnezdenega paketa VxLAN, lahko zdaj uporabite pravila (brez potrebe, da najprej odstranite kapsulo glave VxLAN in povežete filter z vmesnikom vxlan0):
Poleg tega je poudarjeno tudi, dain implementirana podpora za avtomatsko združevanje ostankov po delni odstranitvi postavke s konfiguracijskega seznama, kar omogoča odstranitev postavke ali dela obsega iz obstoječega obsega (prej je bilo mogoče obseg odstraniti le v celoti).
Na primer, po odstranitvi elementa 25 s seznama z obsegi 24-30 in 40-50 bodo 24, 26-30 in 40-50 ostali na seznamu. Popravki, potrebni za samodejno združevanje, bodo na voljo v izdajah popravkov stabilnih vej jedra 5.10+.
Izstopa tudi, da je bil dodan podpora izrazu "zadnji"To omogoča, da ugotovite, kdaj je bil element pravila ali konfiguracijskega seznama nazadnje uporabljen. Ta funkcija je podprta od jedra Linuxa 5.14.
Po drugi strani pa je poudarjeno tudi to dodan je bil nov ukaz »uniči«. za brezpogojno odstranjevanje objektov (za razliko od ukaza za odstranitev ne dvigne ENOENT, ko poskuša odstraniti manjkajoči objekt). Za delovanje potrebuje vsaj jedro Linux 6.3-rc.
- Dovoljena je uporaba konstant v nastavljenih seznamih. Na primer, z uporabo seznama ciljnih naslovov in ID-ja VLAN kot ključa lahko neposredno določite številko VLAN (daddr. 123):
- Dodana možnost določanja kvot na konfiguracijskih seznamih. Če želite na primer določiti kvoto prometa za vsak ciljni naslov IP, lahko podate .
- Dovolite uporabo stikov in obsegov pri preslikavi prevajanja naslovov (NAT).
Končno za tiste, ki jih zanima več o tem O tej novi različici lahko preverite podrobnosti V naslednji povezavi.
Kako namestiti novo različico nftables 1.0.7?
Za tiste, ki jih zanima nova različica nftables 1.0.7 trenutno je mogoče sestaviti samo izvorno kodo v vašem sistemu. Čeprav bodo čez nekaj dni že sestavljeni binarni paketi na voljo znotraj različnih distribucij Linuxa.
Za prevajanje morate imeti nameščene naslednje odvisnosti:
Te je mogoče sestaviti z:
./autogen.sh ./configure make make install
In za nftables 1.0.5 jo prenesemo iz naslednjo povezavo. In sestavljanje se izvede z naslednjimi ukazi:
cd nftables ./autogen.sh ./configure make make install