nftables, Linux'ta paket filtreleme ve paket sınıflandırma sağlayan bir projedir.
Bazı iyileştirmeler, düzeltmeler ve bazı yeni özelliklerle gelen nftables 1.0.7 paket filtresi yayınlandı.
nftables'a aşina olmayanlar için şunu bilmelisiniz ki IPv4 için paket filtreleme arayüzlerini birleştirir IPv6, ARP ve ağ köprüleme (iptables, ip6table, arptables ve ebtables'ın yerini alması amaçlanmıştır). Aynı zamanda, nf_tables alt sistemiyle arayüz oluşturmak için düşük seviyeli bir API sağlayan libnftnl 1.2.3 tamamlayıcı kitaplığı yayınlandı.
Nftables paketi kullanıcı alanında çalışan paket filtre bileşenlerini içerir, çekirdek düzeyinde ise, nf_tables alt sistemi 3.13 sürümünden beri Linux çekirdeğinin bir parçasını sağlar.
Yalnızca çekirdek düzeyde bir protokolden bağımsız ortak bir arayüz sağlar spesifik ve sağlar temel fonksiyonlar paketlerden veri çıkarmak, veri işlemlerini gerçekleştirmek ve akışı kontrol etmek için.
W doğrudan filtreleme kuralları ve protokole özgü sürücüler kullanıcı alanında bir bayt kodu olarak derlenirler, ardından bu bayt kodu Netlink arabirimi kullanılarak çekirdeğe yüklenir ve çekirdekte BPF'ye (Berkeley Paket Filtreleri) benzeyen özel bir sanal makinede yürütülür.
Nftables 1.0.7'ün başlıca yeni özellikleri
nftables 1.0.7'den gelen bu yeni sürümde, Linux 6.2+ çekirdek sistemleri, katma vxlan, geneve, gre ve gretap protokol eşleştirme desteği, kapsüllenmiş paketlerdeki başlıkları kontrol etmek için basit ifadelere izin verir.
Örneğin, iç içe geçmiş bir VxLAN paketinin başlığındaki IP adresini kontrol etmek için artık kuralları kullanabilirsiniz (önce VxLAN başlığını kapsülden çıkarmaya ve filtreyi vxlan0 arayüzüne bağlamaya gerek kalmadan):
Bunun yanında ayrıca vurgulanmaktadır.ve artıkların otomatik birleştirilmesi için destek uygulandı bir öğenin yapılandırma listesinden kısmen kaldırılmasından sonra, bir öğenin veya bir aralığın bir kısmının mevcut bir aralıktan çıkarılmasına izin verilmesi (önceden, bir aralık yalnızca bütünüyle kaldırılabiliyordu).
Örneğin, 25-24 ve 30-40, 50, 24-26 ve 30-40 aralıklarıyla ayarlanmış bir listeden 50. öğeyi çıkardıktan sonra listede kalacaktır. Otomatik birleştirmenin çalışması için gereken düzeltmeler, 5.10+ kararlı çekirdek dallarının yama sürümlerinde sağlanacaktır.
eklendiği de belirtilmelidir. "son" ifadesi için destekO kural veya yapılandırma listesinin öğesinin en son ne zaman kullanıldığını bulmaya izin verir. Bu özellik, Linux çekirdeği 5.14'ten beri desteklenmektedir.
Öte yandan şu da vurgulanmaktadır. yeni bir "yok etme" komutu eklendi nesneleri koşulsuz olarak kaldırmak için (kaldır komutundan farklı olarak, eksik bir nesneyi kaldırmaya çalışırken ENOENT'i yükseltmez). Çalışması için en az Linux 6.3-rc çekirdeği gerektirir.
- Set listelerinde sabitlerin kullanımına izin verilir. Örneğin, anahtar olarak bir hedef adres listesi ve VLAN Kimliği kullanarak, VLAN numarasını doğrudan belirtebilirsiniz (daddr .123):
- Konfigürasyon listelerinde kota tanımlama özelliği eklendi. Örneğin, her hedef IP adresi için bir trafik kotası tanımlamak üzere belirtebilirsiniz.
- Kişilerin ve aralıkların adres çevirisi (NAT) eşlemesinde kullanılmasına izin verin.
Nihayet bunun hakkında daha fazla bilgi edinmek isteyenler için Bu yeni sürüm hakkında ayrıntıları kontrol edebilirsiniz Aşağıdaki bağlantıda.
Nftables 1.0.7'ün yeni sürümü nasıl kurulur?
nftables 1.0.7'in yeni sürümünü edinmek isteyenler için şu anda sadece kaynak kodu derlenebilir sisteminizde. Birkaç gün içinde, halihazırda derlenmiş olan ikili paketler farklı Linux dağıtımlarında mevcut olacaktır.
Derlemek için aşağıdaki bağımlılıkların kurulu olması gerekir:
Bunlar şu şekilde derlenebilir:
./autogen.sh ./configure make make install
Ve nftables 1.0.5 için indiriyoruz aşağıdaki bağlantı. Ve derleme aşağıdaki komutlarla yapılır:
cd nftables ./autogen.sh ./configure make make install