Η νέα έκδοση του nftables 0.9.3 είναι τώρα διαθέσιμη

Darkcrizt

4 λεπτά

NF Πίνακες

Μερικές μέρες πριν κυκλοφόρησε η νέα έκδοση του φίλτρου πακέτων nftables 0.9.3, το οποίο να αναπτυχθούν ως αντικατάσταση για iptables, ip6table, arptables και ebtables λόγω της ενοποίησης διεπαφών φιλτραρίσματος πακέτων για γέφυρες IPv4, IPv6, ARP και δικτύου.

Το πακέτο nftables χρησιμοποιεί δομικά μέρη της υποδομής NetfilterΣαν σύστημα παρακολούθησης σύνδεσης (σύστημα παρακολούθησης σύνδεσης) ή το υποσύστημα εγγραφής. Παρέχεται επίσης ένα επίπεδο συμβατότητας για τη μετάφραση των υπαρχόντων κανόνων τείχους προστασίας iptables στα αντίστοιχα τους σε nftables.

Σχετικά με την Nftables

nftables περιλαμβάνει στοιχεία φίλτρου πακέτων που λειτουργούν στο χώρο του χρήστη, ενώ στο επίπεδο του πυρήνα, το υποσύστημα nf_ πίνακες παρέχει ένα μέρος του πυρήνα Linux από την έκδοση 3.13.

Σε επίπεδο πυρήνα, παρέχεται μόνο μια κοινή διεπαφή το οποίο είναι ανεξάρτητο από ένα συγκεκριμένο πρωτόκολλο και παρέχει βασικές λειτουργίες για την εξαγωγή δεδομένων από πακέτα, την εκτέλεση λειτουργιών δεδομένων και τον έλεγχο της ροής.

Η ίδια η λογική φιλτραρίσματος και οι επεξεργαστές ειδικού πρωτοκόλλου μεταγλωττίζονται σε έναν bytecode στο χώρο του χρήστη, μετά τον οποίο αυτός ο bytecode φορτώνεται στον πυρήνα χρησιμοποιώντας τη διασύνδεση Netlink και εκτελείται σε μια ειδική εικονική μηχανή που μοιάζει με BPF (Berkeley Packet Filters).

Αυτή η προσέγγιση σας επιτρέπει να μειώσετε σημαντικά το μέγεθος του κώδικα φιλτραρίσματος που εκτελείται σε επίπεδο πυρήνα και να εξαλείψετε όλες τις λειτουργίες κανόνων ανάλυσης και τη λογική της εργασίας με πρωτόκολλα στο χώρο του χρήστη.

Τα κύρια πλεονεκτήματα των nftables είναι:

  • Αρχιτεκτονική που είναι ενσωματωμένη στον πυρήνα
  • Μια σύνταξη που ενοποιεί τα εργαλεία IPtables σε ένα εργαλείο γραμμής εντολών
  • Ένα επίπεδο συμβατότητας που επιτρέπει τη χρήση σύνταξης κανόνα IPtables.
  • Μια νέα σύνταξη εύκολη στην εκμάθηση.
  • Απλοποιημένη διαδικασία προσθήκης κανόνων τείχους προστασίας.
  • Βελτιωμένη αναφορά σφαλμάτων.
  • Μείωση στην αναπαραγωγή κώδικα.
  • Καλύτερη συνολική απόδοση, διατήρηση και αυξητικές αλλαγές στο φιλτράρισμα κανόνων.

Τι νέο υπάρχει στα nftables 0.9.3;

Σε αυτή τη νέα έκδοση των nftables 0.9.3 πρόσθετη υποστήριξη για αντίστοιχα πακέτα με την πάροδο του χρόνου. Με αυτό μπορείτε να ορίσετε τα διαστήματα ώρας και ημερομηνίας στην οποία ο κανόνας θα ενεργοποιηθεί και διαμορφώστε την ενεργοποίηση σε μεμονωμένες ημέρες της εβδομάδας. Προστέθηκε επίσης μια νέα επιλογή "-T" για εμφάνιση χρόνου σε δευτερόλεπτα.

Μια άλλη από τις αλλαγές που ξεχωρίζει είναι η υποστήριξη για επαναφορά και αποθήκευση ετικετών SELinux (secmark), ναι όπως και το υποστήριξη για λίστες χαρτών synoxy, επιτρέποντάς σας να ορίσετε περισσότερους από έναν κανόνες ανά backend.

Από τις άλλες αλλαγές που ξεχωρίζουν από αυτήν τη νέα έκδοση:

  • Δυνατότητα να αφαιρέσετε δυναμικά στοιχεία set-set από τους κανόνες επεξεργασίας πακέτων.
  • Υποστήριξη για χαρτογράφηση VLAN ανά αναγνωριστικό και πρωτόκολλο που ορίζονται στα μεταδεδομένα της διασύνδεσης γέφυρας δικτύου
  • Επιλογή "-t" ("–terse") για εξαίρεση στοιχείων set-set κατά την εμφάνιση κανόνων. Κατά την εκτέλεση του "nft -t list Ruleset", θα εμφανίζει:
  • Σύνολο κανόνων λίστας Nft.
  • Η δυνατότητα καθορισμού περισσότερων από μία συσκευών σε συμβολοσειρές netdev (λειτουργεί μόνο με τον πυρήνα 5.5) για το συνδυασμό κοινών κανόνων φίλτρου.
  • Δυνατότητα προσθήκης περιγραφών τύπου δεδομένων.
  • Δυνατότητα δημιουργίας διεπαφής CLI με τη βιβλιοθήκη linenoise αντί για libreadline.

Πώς να εγκαταστήσετε τη νέα έκδοση του nftables 0.9.3;

Για να λάβετε τη νέα έκδοση προς το παρόν μόνο ο πηγαίος κώδικας μπορεί να καταρτιστεί στο σύστημά σας. Αν και σε λίγες μέρες τα ήδη καταρτισμένα δυαδικά πακέτα θα είναι διαθέσιμα στις διάφορες διανομές Linux.

εκτός αυτού Οι απαραίτητες αλλαγές για να λειτουργήσει το nftables 0.9.3 περιλαμβάνονται στον μελλοντικό κλάδο του πυρήνα Linux 5.5. Επομένως, για να μεταγλωττίσετε πρέπει να έχετε εγκαταστήσει τις ακόλουθες εξαρτήσεις:

Αυτά μπορούν να συγκεντρωθούν με:

./autogen.sh
./configure
make
make install

Και για nftables 0.9.3 το κατεβάζουμε από τον ακόλουθο σύνδεσμο. Και η συλλογή γίνεται με τις ακόλουθες εντολές:

cd nftables
./autogen.sh
./configure
make
make install


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.