NFTables — это проект, посвященный фильтрации и классификации пакетов в Linux.
Объявлено о запуске новая версия nftables 1.0.8, версия, в которой внесены различные изменения, исправления ошибок и улучшения совместимости.
Для тех, кто не знает о nftables, они должны знать, что это разрабатывать как замену iptables, ip6table, arptables и ebtables за счет унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов.
Пакет nftables использует структурные части инфраструктуры NetfilterВроде система отслеживания подключений (система отслеживания подключений) или подсистема регистрации. Также предоставляется уровень совместимости для преобразования существующих правил брандмауэра iptables в их эквиваленты в nftables.
Основные новые возможности nftables 1.0.8
В этой новой версии nftables 1.0.8 он выделяется введение совместимости с «meta» и «ct» из других полей правил. Еще одно изменение, которое выделяется в новой версии, заключается в том, что оптимизатор правил для обработки объявлений NAT, улучшена упаковка выражений связанные с преобразованием адресов (NAT).
Помимо этого, в нем подчеркивается упрощенный синтаксис команды «reset» для сброса информации о состоянии в правилах, такой как счетчики и состояние квоты. Упоминается, что вам больше не нужно указывать ключевое слово таблицы при сбросе именованных объектов с состоянием.
В системах с ядром Linux 6.5, добавлена поддержка сброса выражений с отслеживанием состояния. (счетчики обнуляются) в списках элементов, наборах и картах.
С другой стороны, теперь в nftables 1.0.8 при попытке загрузить правила, превышающие ограничение по размеру, применяемое в непривилегированном пространстве имен (например, при попытке загрузить списки GeoIP в контейнере), рекомендуется увеличить значение параметра «/proc/sys/net/core/wmem_max».}
Также подчеркивается, что в наборах для насадок (конкатенация, определенные пакеты адресов и портов, упрощающие сравнение), реализована возможность указания констант, Помимо вывода «наборов списков nft», по умолчанию включено отображение элементов списка. Опция «-t» («–terse») предназначена для отключения отображения элементов.
Из другие изменения которые выделяются из этой новой версии:
- Добавлена поддержка отображения комментариев при формировании таблиц и строк в формате JSON.
- Добавлена возможность использовать JSON при сопоставлении инкапсулированных и туннелированных данных. Например, для сравнения с полем dscp, инкапсулированным в заголовок vxlan,
- Добавлена поддержка JSON в выражении «последнее использование», которое показывает, когда в последний раз использовалось правило или элемент списка.
- Привязки Python заменили distutils на setuptools.
- Улучшены диагностические сообщения об ошибках, вызванных неправильным выбором типа данных и неправильным использованием перехода/перехода на карте.
- Проблема вывода некорректных сообщений об ошибках из-за отсутствия спецификации транспортного протокола при использовании выражений карты вида
- Анонимные списки карт поддерживают выражения с отслеживанием состояния, такие как счетчики.
- Теперь можно упаковывать наборы правил с назначениями ‘ct status’ без потери возможности подсчета пакетов.
- Обновление устройств в существующих цепочках netdev.
наконец, если вы интересно узнать об этом больше этой новой версии, вы можете проверить подробности в по следующей ссылке.
Как установить новую версию nftables 1.0.8?
Чтобы получить новую версию на данный момент можно скомпилировать только исходный код в вашей системе. Хотя через несколько дней уже скомпилированные бинарные пакеты будут доступны в разных дистрибутивах Linux.
Компиляция nftables требует двух зависимостей, которые libmnl y либнфтнл, которые вы можете загрузить их исходный код и скомпилировать каждый из них с помощью следующих команд:
./autogen.sh
./configure
make
make install
Теперь, в случае с nftables, мы должны получить новую версию, которую мы скачали с следующая ссылка. А компиляция выполняется с помощью следующих команд:
cd nftables
./autogen.sh
./configure
make
make install