Den nye version af nftables 0.9.3 er nu tilgængelig

NFT-tabeller

For nogle dage siden den nye version af pakkefilteret nftables 0.9.3 blev frigivet, hvilken udvikle sig som erstatning for iptables, ip6table, arptables og ebtables på grund af foreningen af ​​pakkefiltreringsgrænseflader til IPv4-, IPv6-, ARP- og netværksbroer.

Nftables-pakken bruger strukturelle dele af Netfilter-infrastrukturenLigesom forbindelsessporingssystem (forbindelsessporingssystem) eller registreringsundersystemet. Der tilvejebringes også et kompatibilitetslag til oversættelse af eksisterende iptables-firewallregler til deres nftables-kolleger.

Om Nftables

Nftables inkluderer pakkefilterkomponenter der fungerer i brugerrummet, mens det på kerneniveau er delsystemet nf_tables leverer en del af Linux-kernen siden version 3.13.

På kerneniveau er der kun en fælles grænseflade som er uafhængig af en bestemt protokol og giver grundlæggende funktioner til at udtrække data fra pakker, udføre datahandlinger og styre flow.

Selve filtreringslogikken og de protokolspecifikke processorer samles til en bytekode i brugerrummet, hvorefter denne bytekode indlæses i kernen ved hjælp af Netlink-grænsefladen og køres i en speciel virtuel maskine, der ligner BPF (Berkeley Packet Filters).

Denne tilgang giver dig mulighed for at reducere størrelsen på filtreringskoden, der kører på kerneniveau, betydeligt og eliminere al parse-reglerfunktionalitet og logikken i at arbejde med protokoller i brugerrummet.

De vigtigste fordele ved nftables er:

  • Arkitektur, der er indlejret i kernen
  • En syntaks, der konsoliderer IPtables-værktøjer til et enkelt kommandolinjeværktøj
  • Et kompatibilitetslag, der tillader brug af IPtables-regel-syntaks.
  • En ny syntaks, der er let at lære.
  • Forenklet proces med tilføjelse af firewallregler.
  • Forbedret fejlrapportering.
  • Reduktion i replikering af kode.
  • Bedre samlet præstation, fastholdelse og trinvise ændringer i regelfiltrering.

Hvad er nyt i nftables 0.9.3?

I denne nye version af nftables 0.9.3 tilføjet support til matchende pakker over tid. Med dette kan du definere klokkeslæt og datointervaller hvor reglen aktiveres og konfigurerer aktiveringen på individuelle ugedage. Tilføjede også en ny "-T" mulighed for at vise epoke tid i sekunder.

En anden af ​​de ændringer, der skiller sig ud, er support til gendannelse og lagring af SELinux-tags (secmark), ja såvel som understøttelse af synproxy-kortliste, så du kan definere mere end en regel pr. backend.

Af de andre ændringer der skiller sig ud fra denne nye version:

  • Evne til dynamisk at fjerne sæt-sæt-elementer fra pakkebehandlingsregler.
  • Understøttelse af VLAN-kortlægning efter identifikator og protokol defineret i metadata for netværksbrogrænsefladen
  • Mulighed "-t" ("–terse") for at ekskludere sæt-sæt-elementer, når der vises regler. Når du udfører "nft -t liste regelsæt", vil det vise:
  • Nft liste regel sæt.
  • Evnen til at specificere mere end en enhed i netdev-strenge (fungerer kun med kernel 5.5) for at kombinere almindelige filterregler.
  • Evne til at tilføje datatypebeskrivelser.
  • Evne til at opbygge en CLI-grænseflade med linenoise-biblioteket i stedet for libreadline.

Hvordan installeres den nye version af nftables 0.9.3?

For at få den nye version i øjeblikket kan kun kildekoden kompileres på dit system. Selvom de allerede kompilerede binære pakker i løbet af få dage vil være tilgængelige inden for de forskellige Linux-distributioner.

udover det de ændringer, der er nødvendige for at nftables 0.9.3 fungerer, er inkluderet i den fremtidige Linux-kernegren 5.5. Derfor skal du have følgende afhængigheder installeret for at kompilere:

Disse kan sammensættes med:

./autogen.sh
./configure
make
make install

Og for nftables 0.9.3 downloader vi det fra følgende link. Og kompileringen udføres med følgende kommandoer:

cd nftables
./autogen.sh
./configure
make
make install


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.