Die neue Version von nftables 0.9.3 ist jetzt verfügbar

Darkcrizt

4 Minuten

NTFables

Vor ein paar Tagen Die neue Version des Paketfilters nftables 0.9.3 wurde veröffentlichtwelche Entwicklung als Ersatz für iptables, ip6table, arptables und ebtables aufgrund der Vereinheitlichung der Paketfilterschnittstellen für IPv4-, IPv6-, ARP- und Netzwerkbrücken.

Das nftables-Paket verwendet strukturelle Teile der Netfilter-InfrastrukturWie Verbindungsverfolgungssystem (Verbindungsverfolgungssystem) oder das Registrierungssubsystem. Es wird auch eine Kompatibilitätsschicht bereitgestellt, um die vorhandenen iptables-Firewallregeln in ihre Entsprechungen in nftables zu übersetzen.

Über Nftables

nftables enthält Paketfilterkomponenten die im Benutzerraum arbeiten, während auf Kernelebene das Subsystem nf_tabellen stellt seit Version 3.13 einen Teil des Linux-Kernels bereit.

Auf Kernelebene wird nur eine gemeinsame Schnittstelle bereitgestellt Dies ist unabhängig von einem bestimmten Protokoll und bietet grundlegende Funktionen zum Extrahieren von Daten aus Paketen, Ausführen von Datenoperationen und Steuern des Flusses.

Die Filterlogik selbst und die protokollspezifischen Prozessoren werden im Benutzerbereich zu einem Bytecode kompiliert. Anschließend wird dieser Bytecode über die Netlink-Schnittstelle in den Kernel geladen und in einer speziellen virtuellen Maschine ausgeführt, die aussieht BPF (Berkeley Packet Filters).

Mit diesem Ansatz können Sie die Größe des Filtercodes, der auf Kernelebene ausgeführt wird, erheblich reduzieren und alle Funktionen für Analyseregeln sowie die Logik der Arbeit mit Protokollen im Benutzerbereich eliminieren.

Die Hauptvorteile von nftables sind:

  • Architektur, die in den Kern eingebettet ist
  • Eine Syntax, die IPtables-Tools in einem einzigen Befehlszeilentool zusammenfasst
  • Eine Kompatibilitätsschicht, die die Verwendung der IPtables-Regelsyntax ermöglicht.
  • Eine neue leicht zu erlernende Syntax.
  • Vereinfachter Prozess zum Hinzufügen von Firewall-Regeln.
  • Verbesserte Fehlerberichterstattung.
  • Reduzierung der Codereplikation.
  • Bessere Gesamtleistung, Aufbewahrung und inkrementelle Änderungen bei der Regelfilterung.

Was ist neu in nftables 0.9.3?

In dieser neuen Version von nftables 0.9.3 Unterstützung für passende Pakete hinzugefügt im Laufe der Zeit. Hiermit können Sie die Zeit- und Datumsintervalle definieren in dem die Regel aktiviert wird und die Aktivierung an einzelnen Wochentagen konfiguriert wird. Außerdem wurde eine neue Option "-T" hinzugefügt, um die Epochenzeit in Sekunden anzuzeigen.

Eine weitere herausragende Änderung ist die Unterstützung für das Wiederherstellen und Speichern von SELinux-Tags (secmark), ja sowie die Unterstützung für Synproxy-Map-ListenSo können Sie mehr als eine Regel pro Backend definieren.

Von den anderen Änderungen das hebt sich von dieser neuen Version ab:

  • Möglichkeit, Set-Set-Elemente dynamisch aus Paketverarbeitungsregeln zu entfernen.
  • Unterstützung für die VLAN-Zuordnung nach Kennung und Protokoll, die in den Metadaten der Netzwerkbrückenschnittstelle definiert sind
  • Option "-t" ("–terse") zum Ausschließen von Set-Set-Elementen bei der Anzeige von Regeln. Wenn Sie "nft -t list ruleset" ausführen, wird Folgendes angezeigt:
  • Nft-Listenregelsatz.
  • Die Möglichkeit, mehr als ein Gerät in netdev-Ketten anzugeben (funktioniert nur mit Kernel 5.5), um allgemeine Filterregeln zu kombinieren.
  • Möglichkeit zum Hinzufügen von Datentypbeschreibungen.
  • Möglichkeit zum Erstellen einer CLI-Schnittstelle mit der Linenoise-Bibliothek anstelle von libreadline.

Wie installiere ich die neue Version von nftables 0.9.3?

Um die neue Version zu erhalten Derzeit kann nur der Quellcode kompiliert werden auf Ihrem System. Obwohl in wenigen Tagen die bereits kompilierten Binärpakete in den verschiedenen Linux-Distributionen verfügbar sein werden.

Außerdem Die Änderungen, die erforderlich sind, damit nftables 0.9.3 funktioniert, sind in der zukünftigen Linux-Kernel-Verzweigung 5.5 enthalten. Zum Kompilieren müssen daher die folgenden Abhängigkeiten installiert sein:

Diese können zusammengestellt werden mit:

./autogen.sh
./configure
make
make install

Und für nftables 0.9.3 laden wir es von herunter den folgenden Link. Die Kompilierung erfolgt mit folgenden Befehlen:

cd nftables
./autogen.sh
./configure
make
make install


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.