Beberapa hari yang lalu versi baru dari packet filter nftables 0.9.3 dirilis, Itu mengembangkan sebagai pengganti iptables, ip6table, arptables dan ebtables karena penyatuan antarmuka penyaringan paket untuk IPv4, IPv6, ARP dan jembatan jaringan.
Paket nftables menggunakan bagian struktural infrastruktur Netfilter, seperti sistem pelacakan koneksi (sistem pelacakan koneksi) atau subsistem pendaftaran. Lapisan kompatibilitas juga direncanakan untuk menerjemahkan aturan firewall iptables yang ada ke rekan nftables mereka.
Tentang Nftables
nftables termasuk komponen filter paket yang bekerja di ruang pengguna, sedangkan di tingkat kernel, subsistem nf_tables menyediakan bagian dari kernel Linux sejak versi 3.13.
Di tingkat kernel, hanya antarmuka umum yang disediakan yang tidak bergantung pada protokol tertentu dan menyediakan fungsi dasar untuk mengekstrak data dari paket, melakukan operasi data, dan mengontrol aliran.
Logika pemfilteran itu sendiri dan prosesor khusus protokol dikompilasi menjadi bytecode di ruang pengguna, setelah itu bytecode ini dimuat ke kernel menggunakan antarmuka Netlink dan dijalankan di mesin virtual khusus yang terlihat seperti itu. BPF (Filter Paket Berkeley).
Pendekatan ini memungkinkan Anda untuk secara signifikan mengurangi ukuran kode pemfilteran yang berjalan di tingkat kernel dan menghilangkan semua fungsionalitas aturan parse dan logika bekerja dengan protokol di ruang pengguna.
Keuntungan utama nftables adalah:
- Arsitektur yang tertanam pada intinya
- Sintaks yang menggabungkan alat IPtables menjadi alat baris perintah tunggal
- Lapisan kompatibilitas yang memungkinkan penggunaan sintaks aturan IPtables.
- Sintaks baru yang mudah dipelajari.
- Proses yang disederhanakan untuk menambahkan aturan firewall.
- Pelaporan bug yang ditingkatkan.
- Pengurangan replikasi kode.
- Performa, retensi, dan perubahan tambahan secara keseluruhan yang lebih baik pada pemfilteran aturan.
Apa yang baru di nftables 0.9.3?
Dalam versi baru nftables 0.9.3 menambahkan dukungan untuk paket yang cocok seiring waktu. Dengan ini Anda dapat menentukan interval waktu dan tanggal di mana aturan akan diaktifkan dan mengkonfigurasi aktivasi pada setiap hari dalam seminggu. Juga menambahkan opsi "-T" baru untuk menampilkan waktu epoch dalam hitungan detik.
Perubahan lain yang menonjol adalah dukungan untuk memulihkan dan menyimpan tag SELinux (secmark), ya dan juga dukungan untuk daftar peta sinkronisasi, memungkinkan Anda menentukan lebih dari satu aturan per backend.
Dari perubahan lainnya yang menonjol dari versi baru ini:
- Kemampuan untuk secara dinamis menghapus elemen set-set dari aturan pemrosesan paket.
- Dukungan untuk pemetaan VLAN dengan pengenal dan protokol yang ditentukan dalam metadata antarmuka jembatan jaringan
- Option "-t" ("–terse") untuk mengecualikan elemen set-set saat menampilkan aturan. Saat menjalankan "nft -t list ruleset", ini akan menampilkan:
- Kumpulan aturan daftar Nft.
- Kemampuan untuk menentukan lebih dari satu perangkat dalam rantai netdev (hanya bekerja dengan kernel 5.5) untuk menggabungkan aturan filter umum.
- Kemampuan untuk menambahkan deskripsi tipe data.
- Kemampuan untuk membangun antarmuka CLI dengan pustaka linenoise sebagai ganti libreadline.
Bagaimana cara menginstal versi baru nftables 0.9.3?
Untuk mendapatkan versi baru saat ini hanya kode sumber yang dapat dikompilasi di sistem Anda. Meskipun dalam hitungan hari, paket biner yang sudah dikompilasi akan tersedia dalam distribusi Linux yang berbeda.
Selain itu perubahan yang diperlukan agar nftables 0.9.3 dapat bekerja termasuk dalam cabang kernel Linux 5.5 mendatang. Oleh karena itu, untuk mengompilasi Anda harus menginstal dependensi berikut:
Ini dapat dikompilasi dengan:
./autogen.sh
./configure
make
make install
Dan untuk nftables 0.9.3 kami mendownloadnya dari link berikut. Dan kompilasi dilakukan dengan perintah berikut:
cd nftables
./autogen.sh
./configure
make
make install