nftables är ett projekt som tillhandahåller paketfiltrering och paketklassificering på Linux
Utgivningen av paketfiltret nftables 1.0.7 har publicerats, som kommer med några förbättringar, korrigeringar samt några nya funktioner.
För de som inte är bekanta med nftables bör du veta att detta förenar paketfiltreringsgränssnitt för IPv4, IPv6, ARP och nätverksbryggning (avsedda att ersätta iptables, ip6table, arptables och ebtables). Samtidigt släpptes libnftnl 1.2.3-kompanjonsbiblioteket, som tillhandahåller ett lågnivå-API för gränssnitt med nf_tables-undersystemet.
Nftables-paketet innehåller paketfilterkomponenter som fungerar i användarutrymmet, medan på kärnnivå tillhandahåller delsystemet nf_tables en del av Linux-kärnan sedan version 3.13.
Endast på kärnnivån tillhandahåller ett gemensamt gränssnitt som är oberoende av ett protokoll specifika och tillhandahåller grundläggande funktioner för att extrahera data från paket, utföra datahantering och kontrollera flödet.
den direktfiltreringsregler och protokollspecifika drivrutiner de sammanställs till en bytkod i användarutrymmet, varefter denna bytkod laddas in i kärnan med hjälp av Netlink-gränssnittet och körs i kärnan i en speciell virtuell maskin som liknar BPF (Berkeley Packet Filters).
De viktigaste nya funktionerna i Nftables 1.0.7
I denna nya version som kommer från nftables 1.0.7, för Linux 6.2+ kärnsystem, Lagt till stöd för matchning av vxlan, geneve, gre och gretap protokoll, som tillåter enkla uttryck att kontrollera rubriker i inkapslade paket.
Till exempel, för att kontrollera IP-adressen i rubriken på ett kapslat VxLAN-paket kan du nu använda regler (utan att först behöva avkapsla VxLAN-huvudet och binda filtret till vxlan0-gränssnittet):
Utöver detta framhålls också attoch implementerade stöd för automatisk sammanslagning av rester efter partiell borttagning av ett objekt från konfigurationslistan, vilket tillåter att ett objekt eller en del av ett intervall tas bort från ett befintligt intervall (tidigare kunde ett intervall endast tas bort i sin helhet).
Till exempel, efter att ha tagit bort objekt 25 från en listuppsättning med intervallen 24-30 och 40-50, kommer 24, 26-30 och 40-50 att finnas kvar i listan. De korrigeringar som krävs för att automatisk sammanslagning ska fungera kommer att tillhandahållas i patchutgåvor av 5.10+ stabila kärngrenar.
Det noteras också att det tillsattes stöd för uttrycket "sista"Att gör det möjligt att ta reda på när elementet i regeln eller konfigurationslistan senast användes. Den här funktionen har stöds sedan Linux-kärnan 5.14.
Å andra sidan framhävs det också ett nytt "destroy"-kommando har lagts till att ta bort objekt villkorslöst (till skillnad från kommandot remove, höjer det inte ENOENT när man försöker ta bort ett saknat objekt). Det kräver åtminstone Linux 6.3-rc kärna för att fungera.
- Det är tillåtet att använda konstanter i setlistor. Till exempel, med hjälp av en lista med destinationsadressen och VLAN-ID som nyckel, kan du direkt ange VLAN-numret (daddr . 123):
- Lade till möjligheten att definiera kvoter på konfigurationslistor. För att till exempel definiera en trafikkvot för varje destinations-IP-adress kan du ange .
- Tillåt kontakter och intervall att användas i adressöversättning (NAT).
Slutligen för dem som är intresserade av att veta mer om det Om den här nya versionen kan du kontrollera detaljerna I följande länk.
Hur installerar jag den nya versionen av nftables 1.0.7?
För dig som är intresserad av att kunna få den nya versionen av nftables 1.0.7 just nu kan endast källkoden kompileras på ditt system. Även om de kompilerade binära paketen inom några dagar kommer att finnas tillgängliga inom de olika Linux-distributionerna.
För att kompilera måste du ha följande beroenden installerade:
Dessa kan sammanställas med:
./autogen.sh ./configure make make install
Och för nftables 1.0.5 laddar vi ner det från följande länk. Och sammanställningen görs med följande kommandon:
cd nftables ./autogen.sh ./configure make make install