La nouvelle version de nftables 0.9.3 est maintenant disponible

Darkcrizt

Minutes 4

Tables NF

Ça fait quelques jours la nouvelle version du filtre de paquets nftables 0.9.3 est sortiequi développer en remplacement des iptables, ip6table, arptables et ebtables grâce à l'unification des interfaces de filtrage de paquets pour IPv4, IPv6, ARP et les ponts réseau.

Le paquet nftables utilise des parties structurelles de l'infrastructure NetfilterComme système de suivi de connexion (système de suivi des connexions) ou le sous-système d'enregistrement. Une couche de compatibilité est également fournie pour traduire les règles de pare-feu iptables existantes en leurs équivalents dans nftables.

À propos de Nftables

Tables numériques comprend des composants de filtrage de paquets qui fonctionnent dans l'espace utilisateur, tandis qu'au niveau du noyau, le sous-système nf_tables fournit une partie du noyau Linux depuis la version 3.13.

Au niveau du noyau, seule une interface commune est fournie qui est indépendant d'un protocole spécifique et fournit des fonctions de base pour extraire des données de paquets, effectuer des opérations de données et contrôler le flux.

La logique de filtrage elle-même et les processeurs spécifiques au protocole sont compilés dans un bytecode dans l'espace utilisateur, après quoi ce bytecode est chargé dans le noyau à l'aide de l'interface Netlink et exécuté dans une machine virtuelle spéciale qui ressemble à BPF (filtres de paquets de Berkeley).

Cette approche vous permet de réduire considérablement la taille du code de filtrage qui s'exécute au niveau du noyau et d'éliminer toutes les fonctionnalités de règles d'analyse et la logique de travail avec les protocoles dans l'espace utilisateur.

Les principaux avantages de nftables sont:

  • Une architecture intégrée au cœur
  • Une syntaxe qui consolide les outils IPtables en un seul outil de ligne de commande
  • Une couche de compatibilité qui permet l'utilisation de la syntaxe de règle IPtables.
  • Une nouvelle syntaxe facile à apprendre.
  • Processus simplifié d'ajout de règles de pare-feu.
  • Rapport de bogue amélioré.
  • Réduction de la réplication de code.
  • Meilleures performances globales, rétention et modifications progressives du filtrage des règles.

Quoi de neuf dans nftables 0.9.3?

Dans cette nouvelle version de nftables 0.9.3 Ajout de la prise en charge des packages correspondants au fil du temps. Avec cela, vous pouvez définir les intervalles d'heure et de date dans lequel la règle sera activée et configurer l'activation chaque jour de la semaine. Ajout d'une nouvelle option "-T" pour afficher l'heure en secondes.

Un autre des changements qui se démarque est le prise en charge de la restauration et de l'enregistrement des balises SELinux (secmark), oui ainsi que le prise en charge de la liste de cartes synproxy, vous permettant de définir plus d'une règle par backend.

Des autres changements qui se démarquent de cette nouvelle version:

  • Possibilité de supprimer dynamiquement les éléments d'ensemble des règles de traitement des paquets.
  • Prise en charge du mappage VLAN par identifiant et protocole définis dans les métadonnées de l'interface de pont réseau
  • Option "-t" ("–terse") pour exclure les éléments d'ensemble lors de l'affichage des règles. L'exécution de "nft -t list ruleset" affichera:
  • Ensemble de règles de liste NFT.
  • La possibilité de spécifier plus d'un périphérique dans les chaînes netdev (fonctionne uniquement avec le noyau 5.5) pour combiner des règles de filtrage communes.
  • Possibilité d'ajouter des descriptions de types de données.
  • Possibilité de créer une interface CLI avec la bibliothèque linoise au lieu de libreadline.

Comment installer la nouvelle version de nftables 0.9.3?

Pour obtenir la nouvelle version pour le moment seul le code source peut être compilé sur votre système. Bien que dans quelques jours, les paquets binaires déjà compilés seront disponibles dans les différentes distributions Linux.

En plus que les changements nécessaires au fonctionnement de nftables 0.9.3 sont inclus dans la future branche 5.5 du noyau Linux. Par conséquent, pour compiler, vous devez avoir les dépendances suivantes installées:

Ceux-ci peuvent être compilés avec:

./autogen.sh
./configure
make
make install

Et pour nftables 0.9.3, nous le téléchargeons depuis le lien suivant. Et la compilation se fait avec les commandes suivantes:

cd nftables
./autogen.sh
./configure
make
make install


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.