nftables 1.0.7 已经发布,这些是它的新闻

NF表

nftables 是一个在 Linux 上提供数据包过滤和数据包分类的项目

nftables 1.0.7 数据包过滤器的版本已经发布,其中包含一些改进、更正以及一些新功能。

对于那些不熟悉 nftables 的人,你应该知道这个 为 IPv4 统一包过滤接口, IPv6、ARP 和网络桥接(旨在取代 iptables、ip6table、a​​rptables 和 ebtables)。 同时,发布了 libnftnl 1.2.3 配套库,它提供了与 nf_tables 子系统接口的低级 API。

nftables包 包括在用户空间中工作的数据包筛选器组件, 而在内核级别,nf_tables子系统提供了自3.13版以来的Linux内核的一部分。

仅在核心级别 提供独立于协议的通用接口 具体并提供 基本功能 从数据包中提取数据,执行数据操作并控制流量。

直接过滤规则和特定于协议的驱动程序 它们被编译为用户空间中的字节码,然后使用Netlink接口将该字节码加载到内核中,并在类似于BPF(伯克利数据包过滤器)的特殊虚拟机中在内核中执行。

Nftables 1.0.7的主要新功能

在这个来自 nftables 1.0.7 的新版本中,对于 Linux 6.2+内核系统, 添加 支持vxlan、geneve、gre和gretap协议匹配, 它允许简单的表达式来检查封装数据包中的标头。

例如,要检查嵌套 VxLAN 数据包标头中的 IP 地址,您现在可以使用规则(无需先取消封装 VxLAN 标头并将过滤器绑定到 vxlan0 接口):

除此之外,还要强调的是并实现了对残基自动合并的支持 从配置列表中部分删除项目后,允许从现有范围中删除项目或范围的一部分(以前,只能删除整个范围)。

例如,从范围为 25-24 和 30-40 的列表集中删除项目 50 后,24、26-30 和 40-50 将保留在列表中。 自动合并工作所需的修复将在 5.10+ 稳定内核分支的补丁版本中提供。

还注意到它被添加 支持表达“最后” 允许找出最后一次使用规则或配置列表的元素. 这个特性从 Linux 内核 5.14 开始就被支持了。

另一方面,也强调 添加了一个新的“销毁”命令 无条件地删除对象(与 remove 命令不同,它在尝试删除丢失的对象时不会引发 ENOENT)。 它至少需要 Linux 6.3-rc 内核才能工作。

  • 允许在集合列表中使用常量。 例如,使用目标地址和 VLAN ID 的列表作为键,您可以直接指定 VLAN 号 (daddr . 123):
  • 添加了在配置列表上定义配额的功能。 例如,要为每个目标 IP 地址定义流量配额,您可以指定 .
  • 允许在地址转换 (NAT) 映射中使用联系人和范围。

最后 对于那些有兴趣了解更多信息的人 关于这个新版本,您可以查看详细信息 在下面的链接中。

如何安装新版本的nftables 1.0.7?

对于那些有兴趣能够获得新版本 nftables 1.0.7 的人 目前只有源代码可以编译 在您的系统上。 尽管几天之内已经编译好的二进制软件包将在不同的Linux发行版中可用。

要进行编译,必须安装以下依赖项:

这些可以用以下命令编译:

./autogen.sh
./configure
make
make install

对于nftables 1.0.5,我们从以下位置下载 以下链接。 并使用以下命令完成编译:

cd nftables
./autogen.sh
./configure
make
make install

成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。