Prije nekoliko dana objavljena je nova verzija filtra paketa nftables 0.9.3, To razviti kao zamjena za iptables, ip6table, arptables i ebtables zbog objedinjavanja sučelja za filtriranje paketa za IPv4, IPv6, ARP i mrežne mostove.
Paket nftables koristi strukturne dijelove infrastrukture Netfilter, kao što je sustav praćenja veze (sustav za praćenje veze) ili registracijski podsustav. Također se planira sloj kompatibilnosti za prevođenje postojećih pravila vatrozida iptables u njihove nftables kolege.
O Nftablesima
nftables uključuje komponente filtra paketa koji rade u korisničkom prostoru, dok su na razini jezgre, podsustav nf_tabele pruža dio jezgre Linuxa od verzije 3.13.
Na razini jezgre pruža se samo zajedničko sučelje koji je neovisan o određenom protokolu i pruža osnovne funkcije za izdvajanje podataka iz paketa, izvođenje operacija podataka i kontrolu protoka.
Sama logika filtriranja i procesori specifični za protokol sastavljaju se u bajt kod u korisničkom prostoru, nakon čega se taj bajt kod učitava u jezgru pomoću sučelja Netlink i izvodi u posebnom virtualnom stroju koji izgleda BPF (Berkeley Packet Filters).
Ovaj vam pristup omogućuje značajno smanjenje veličine koda za filtriranje koji se izvodi na razini jezgre i uklanjanje svih funkcionalnosti raščlanjivanja pravila i logike rada s protokolima u korisničkom prostoru.
Glavne prednosti nftables su:
- Arhitektura koja je ugrađena u srž
- Sintaksa koja objedinjuje alate IPtables u jedan alat naredbenog retka
- Sloj kompatibilnosti koji omogućuje upotrebu sintakse pravila IPtables.
- Nova sintaksa koja se lako nauči.
- Pojednostavljeni postupak dodavanja pravila vatrozida.
- Poboljšano izvještavanje o programskim pogreškama.
- Smanjenje replikacije koda.
- Bolja ukupna izvedba, zadržavanje i postupne promjene za filtriranje pravila.
Što je novo u nftables 0.9.3?
U ovoj novoj verziji nftables 0.9.3 dodana podrška za odgovarajuće pakete tijekom vremena. Ovim možete definirati vremenske i datumske intervale u kojem će se pravilo aktivirati i konfigurirati aktiviranje u pojedine dane u tjednu. Također je dodana nova opcija "-T" za prikaz epoha u sekundama.
Još jedna od promjena koja se ističe je podrška za vraćanje i spremanje SELinux oznaka (oznaka sekunde), da kao i podrška za popise sinproksi mapa, omogućujući vam definiranje više od jednog pravila po pozadini.
Od ostalih promjena koji se ističu u ovoj novoj verziji:
- Sposobnost dinamičkog uklanjanja postavljenih elemenata iz pravila obrade paketa.
- Podrška za mapiranje VLAN-a identifikatorom i protokolom definiranim u metapodacima sučelja mrežnog mosta
- Opcija "-t" ("–terse") za izuzimanje elemenata skupa prilikom prikazivanja pravila. Prilikom izvršavanja "skup pravila pravila nft -t", pokazat će:
- Postavljeno pravilo Nft liste.
- Sposobnost specificiranja više od jednog uređaja u lancima netdev (radi samo s jezgrom 5.5) za kombiniranje uobičajenih pravila filtriranja.
- Sposobnost dodavanja opisa podataka.
- Sposobnost izgradnje CLI sučelja s bibliotekom linenoise umjesto libreadline.
Kako instalirati novu verziju nftables 0.9.3?
Da biste dobili novu verziju trenutno se može sastaviti samo izvorni kod na vašem sustavu. Iako će za nekoliko dana već sastavljeni binarni paketi biti dostupni u različitim Linux distribucijama.
osim toga promjene potrebne za rad nftables 0.9.3 uključene su u buduću granu Linux kernela 5.5. Stoga, za kompajliranje morate imati instalirane sljedeće ovisnosti:
Oni se mogu sastaviti sa:
./autogen.sh
./configure
make
make install
A za nftables 0.9.3 preuzimamo ga s sljedeći link. A kompilacija se vrši pomoću sljedećih naredbi:
cd nftables
./autogen.sh
./configure
make
make install