Mõni päev tagasi ilmus pakettfiltri nftables 0.9.3 uus versioon, See arendada iptable'i, ip6table'i, arptable'i ja ebtable'i asendajana IPv4, IPv6, ARP ja võrgusildade pakettfiltreerimisliideste ühtlustamise tõttu.
Pakett nftables kasutab Netfilteri infrastruktuuri struktuuriosasidNagu ühenduse jälgimise süsteem (ühenduse jälgimise süsteem) või registreerimise alamsüsteem. Samuti on kavandatud ühilduvuskiht olemasolevate iptablesi tulemüüri reeglite tõlkimiseks nende nftable ekvivalentidena.
Nftablesi kohta
nftables sisaldab pakettfiltri komponente mis töötavad kasutajaruumis, tuuma tasandil aga alamsüsteem nf_table pakub osa Linuxi kernelist alates versioonist 3.13.
Tuuma tasandil pakutakse ainult ühist liidest mis on sõltumatu konkreetsest protokollist ja pakub põhifunktsioone pakettidest andmete väljavõtmiseks, andmeoperatsioonide teostamiseks ja voo juhtimiseks.
Filtreerimisloogika ise ja protokollispetsiifilised protsessorid kompileeritakse kasutajaruumis olevaks baidekoodiks, misjärel laaditakse see baitkood Netlinki liidese abil kernelisse ja käivitatakse spetsiaalses virtuaalses masinas, mis näeb välja nagu: BPF (Berkeley pakettfiltrid).
See lähenemine võimaldab teil oluliselt vähendada tuuma tasemel töötava filtreerimiskoodi suurust ja kõrvaldada kõik sõelumisreeglite funktsionaalsused ja kasutajaruumis protokollidega töötamise loogika.
Nftable'i peamised eelised on:
- Südamikku sisseehitatud arhitektuur
- Süntaks, mis koondab IPtable'i tööriistad üheks käsurea tööriistaks
- Ühilduvuskiht, mis võimaldab kasutada IPtable-reeglite süntaksit.
- Uus kergesti õpitav süntaks.
- Lihtsustatud protsess tulemüüri reeglite lisamiseks.
- Täiustatud vigadest teatamine.
- Koodide replikatsiooni vähendamine.
- Parem üldine toimivus, säilitamine ja reeglite filtreerimise järkjärgulised muudatused.
Mida uut pakub nftable 0.9.3?
Selles nftable-versioonide uues versioonis 0.9.3 pakettide sobitamise tugi üle aja. Selle abil saate määrata aja ja kuupäeva intervallid milles reegel aktiveeritakse, ja konfigureerige aktiveerimine üksikutel nädalapäevadel. Lisas ka uue valiku "-T", et kuvada ajastu sekundites.
Teine silma paistev muudatus on tugi SELinuksi siltide taastamiseks ja salvestamiseks (eraldusmärk), jah nagu ka sünkroniseeritud kaardiloendi tugi, mis võimaldab teil taustaprogrammi jaoks määratleda rohkem kui ühe reegli.
Muudest muudatustest mis eristuvad sellest uuest versioonist:
- Võimalus komplektide elemente dünaamiliselt eemaldada pakettide töötlemise reeglitest.
- VLAN-i kaardistamise tugi võrgusilla liidese metaandmetes määratletud identifikaatori ja protokolli järgi
- Reeglite kuvamisel komplekt-set elementide välistamiseks on võimalus „-t” („–terse”). "Nft -t loendi reeglistiku" käivitamisel kuvatakse:
- Nft-i loendi reegel on määratud.
- Võimalus määrata rohkem kui üks seade netdev stringides (töötab ainult kernel 5.5-ga), et kombineerida tavalisi filtrireegleid.
- Võimalus lisada andmetüüpide kirjeldusi.
- Võimalus luua libreadline'i asemel CLI-liides liinasse raamatukoguga.
Kuidas installida nftables 0.9.3 uus versioon?
Uue versiooni saamiseks hetkel saab koostada ainult lähtekoodi oma süsteemis. Ehkki mõne päeva jooksul on juba kompileeritud binaarpaketid saadaval Linuxi erinevates distributsioonides.
peale selle nftables 0.9.3 töötamiseks vajalikud muudatused on kaasatud tulevasesse Linuxi kerneli harusse 5.5. Seetõttu peavad kompileerimiseks olema installitud järgmised sõltuvused:
Neid saab koostada järgmiselt:
./autogen.sh
./configure
make
make install
Ja nftable 0.9.3 puhul laadime selle alla järgmine link. Ja kompileerimine toimub järgmiste käskudega:
cd nftables
./autogen.sh
./configure
make
make install