nftables là dự án cung cấp tính năng lọc gói tin và phân loại gói tin trên Linux
Bản phát hành bộ lọc gói nftables 1.0.7 đã được xuất bản, đi kèm với một số cải tiến, chỉnh sửa cũng như một số tính năng mới.
Đối với những người không quen với nftables, bạn nên biết rằng điều này thống nhất các giao diện lọc gói cho IPv4, IPv6, ARP và cầu nối mạng (nhằm thay thế iptables, ip6table, arptables và ebtables). Đồng thời, thư viện đồng hành libnftnl 1.2.3 được phát hành, cung cấp API cấp thấp để giao tiếp với hệ thống con nf_tables.
Gói nftables bao gồm các thành phần bộ lọc gói hoạt động trong không gian người dùng, trong khi ở cấp nhân, hệ thống con nf_tables cung cấp một phần của nhân Linux kể từ phiên bản 3.13.
Ở cấp độ cốt lõi, chỉ cung cấp một giao diện chung độc lập với một giao thức cụ thể và cung cấp chức năng cơ bản để trích xuất dữ liệu từ các gói, thực hiện các hoạt động dữ liệu và kiểm soát luồng.
các quy tắc lọc trực tiếp và trình điều khiển giao thức cụ thể chúng được biên dịch thành một mã bytecode trong không gian người dùng, sau đó mã bytecode này được tải vào hạt nhân bằng giao diện Netlink và được thực thi trong hạt nhân trong một máy ảo đặc biệt tương tự như BPF (Bộ lọc gói Berkeley).
Các tính năng mới chính của Nftables 1.0.7
Trong phiên bản mới này đến từ nftables 1.0.7, dành cho Hệ thống nhân Linux 6.2+, thêm hỗ trợ khớp giao thức vxlan, geneve, gre và gretap, cho phép các biểu thức đơn giản kiểm tra các tiêu đề trong các gói được đóng gói.
Ví dụ: để kiểm tra địa chỉ IP trong tiêu đề của gói VxLAN lồng nhau, giờ đây bạn có thể sử dụng các quy tắc (không cần phải mở gói tiêu đề VxLAN trước và liên kết bộ lọc với giao diện vxlan0):
Ngoài ra, nó cũng được nhấn mạnh rằngvà triển khai hỗ trợ tự động hợp nhất dư lượng sau khi xóa một phần mục khỏi danh sách cấu hình, cho phép xóa một mục hoặc một phần của phạm vi khỏi phạm vi hiện có (trước đây, chỉ có thể xóa toàn bộ phạm vi).
Ví dụ: sau khi xóa mục 25 khỏi bộ danh sách có phạm vi 24-30 và 40-50, 24, 26-30 và 40-50 sẽ vẫn còn trong danh sách. Các bản sửa lỗi cần thiết để hợp nhất tự động hoạt động sẽ được cung cấp trong bản phát hành bản vá của các nhánh nhân ổn định 5.10 trở lên.
Nó cũng được lưu ý rằng nó đã được thêm vào hỗ trợ cho cụm từ "cuối cùng"Đó cho phép tìm ra lần cuối cùng phần tử của quy tắc hoặc danh sách cấu hình được sử dụng. Tính năng này đã được hỗ trợ kể từ nhân Linux 5.14.
Mặt khác, nó cũng được nhấn mạnh rằng một lệnh "tiêu diệt" mới đã được thêm vào để loại bỏ các đối tượng một cách vô điều kiện (không giống như lệnh loại bỏ, nó không tăng ENOENT khi cố gắng loại bỏ một đối tượng bị thiếu). Nó yêu cầu ít nhất nhân Linux 6.3-rc để hoạt động.
- Việc sử dụng các hằng số trong danh sách tập hợp được cho phép. Ví dụ: sử dụng danh sách địa chỉ đích và VLAN ID làm khóa, bạn có thể chỉ định trực tiếp số VLAN (daddr . 123):
- Đã thêm khả năng xác định hạn ngạch trên danh sách cấu hình. Ví dụ: để xác định hạn ngạch lưu lượng cho từng địa chỉ IP đích, bạn có thể chỉ định .
- Cho phép sử dụng các liên hệ và phạm vi trong ánh xạ dịch địa chỉ (NAT).
Cuối cùng cho những người quan tâm muốn biết thêm về nó Về phiên bản mới này, bạn có thể kiểm tra chi tiết Trong liên kết sau đây.
Làm thế nào để cài đặt phiên bản mới của nftables 1.0.7?
Dành cho những ai quan tâm đến việc có thể tải phiên bản mới của nftables 1.0.7 hiện tại chỉ có mã nguồn có thể được biên dịch trên hệ thống của bạn. Mặc dù trong vài ngày tới, các gói nhị phân đã được biên dịch sẵn sẽ có sẵn trong các bản phân phối Linux khác nhau.
Để biên dịch, bạn phải cài đặt các phần phụ thuộc sau:
Chúng có thể được biên dịch với:
./autogen.sh ./configure make make install
Và đối với nftables 1.0.5, chúng tôi tải xuống từ liên kết sau. Và quá trình biên dịch được thực hiện bằng các lệnh sau:
cd nftables ./autogen.sh ./configure make make install