nftables — це проект, який забезпечує фільтрацію та класифікацію пакетів у Linux
Опубліковано випуск фільтра пакетів nftables 1.0.7, який містить деякі покращення, виправлення, а також деякі нові функції.
Для тих, хто не знайомий з nftables, ви повинні знати, що це уніфікує інтерфейси фільтрації пакетів для IPv4, IPv6, ARP і мережеві мости (призначені для заміни iptables, ip6table, arptables і ebtables). У той же час була випущена супутня бібліотека libnftnl 1.2.3, яка надає низькорівневий API для взаємодії з підсистемою nf_tables.
Пакет nftables включає компоненти фільтру пакетів, які працюють в просторі користувача, тоді як на рівні ядра підсистема nf_tables забезпечує частину ядра Linux, починаючи з версії 3.13.
Лише на базовому рівні забезпечує загальний інтерфейс, який не залежить від протоколу конкретний і забезпечує основні функції для вилучення даних з пакетів, виконання операцій з даними та управління потоком.
The правила прямої фільтрації та специфічні для протоколу драйвери вони компілюються в байт-код в просторі користувача, після чого цей байт-код завантажується в ядро за допомогою інтерфейсу Netlink і виконується в ядрі на спеціальній віртуальній машині, що нагадує BPF (фільтри пакетів Берклі).
Основні нові можливості Nftables 1.0.7
У цій новій версії, яка походить від nftables 1.0.7, для Системи ядра Linux 6.2+, додано підтримка відповідності протоколів vxlan, geneve, gre та gretap, який дозволяє простим виразам перевіряти заголовки в інкапсульованих пакетах.
Наприклад, щоб перевірити IP-адресу в заголовку вкладеного пакету VxLAN, тепер можна використовувати правила (без необхідності попередньо деінкапсулювати заголовок VxLAN і прив’язувати фільтр до інтерфейсу vxlan0):
Крім цього, наголошується, щоі реалізована підтримка автоматичного злиття залишків після часткового видалення елемента зі списку конфігурації, що дозволяє видалити елемент або частину діапазону з існуючого діапазону (раніше діапазон можна було видалити лише повністю).
Наприклад, після видалення елемента 25 із набору списку з діапазонами 24-30 і 40-50, 24, 26-30 і 40-50 залишаться в списку. Виправлення, необхідні для роботи автоматичного об’єднання, будуть надані у випусках патчів стабільних гілок ядра 5.10+.
Також виділяється, що його було додано підтримка виразу "останній"Що дозволяє дізнатися, коли востаннє використовувався елемент правила або списку конфігурації. Ця функція підтримується з ядра Linux 5.14.
З іншого боку, також підкреслюється, що додано нову команду «знищити». для безумовного видалення об’єктів (на відміну від команди видалення, вона не викликає ENOENT під час спроби видалити відсутній об’єкт). Для роботи потрібно принаймні ядро Linux 6.3-rc.
- Допускається використання констант у наборах. Наприклад, використовуючи список адрес призначення та ідентифікатор VLAN як ключ, ви можете безпосередньо вказати номер VLAN (daddr. 123):
- Додано можливість визначати квоти в списках конфігурації. Наприклад, щоб визначити квоту трафіку для кожної IP-адреси призначення, ви можете вказати .
- Дозволити використовувати контакти та діапазони для відображення трансляції адрес (NAT).
В кінці кінців для тих, кому цікаво дізнатись більше про це Про цю нову версію ви можете перевірити деталі У наступному посиланні.
Як встановити нову версію nftables 1.0.7?
Для тих, хто зацікавлений у можливості отримати нову версію nftables 1.0.7 на даний момент може бути скомпільований лише вихідний код у вашій системі. Хоча за лічені дні вже зібрані двійкові пакети будуть доступні в різних дистрибутивах Linux.
Для компіляції потрібно встановити такі залежності:
Їх можна скласти за допомогою:
./autogen.sh ./configure make make install
А для nftables 1.0.5 ми завантажуємо його з за наступним посиланням. І компіляція виконується за допомогою таких команд:
cd nftables ./autogen.sh ./configure make make install