며칠 전 패킷 필터 nftables 0.9.3의 새 버전이 출시되었습니다., 그 iptables, ip6table, arptables 및 ebtables의 대체품으로 개발 IPv4, IPv6, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스의 통합 덕분입니다.
nftables 패키지 Netfilter 인프라의 구조적 부분을 사용합니다.,처럼 연결 추적 시스템 (연결 추적 시스템) 또는 등록 하위 시스템. 기존 iptables 방화벽 규칙을 nftables 대응 항목으로 변환하기위한 호환성 계층도 제공됩니다.
Nftables 정보
nftables 패킷 필터 구성 요소 포함 사용자 공간에서 작동하는 반면 커널 수준에서는 하위 시스템 nf_tables 3.13 버전부터 Linux 커널의 일부를 제공합니다.
커널 수준에서는 공통 인터페이스 만 제공됩니다. 특정 프로토콜과 독립적이며 패킷에서 데이터 추출, 데이터 작업 수행 및 흐름 제어를위한 기본 기능을 제공합니다.
필터링 로직 자체와 프로토콜 별 프로세서는 사용자 공간에서 바이트 코드로 컴파일 된 후이 바이트 코드가 Netlink 인터페이스를 사용하여 커널에로드되고 다음과 같은 특수 가상 머신에서 실행됩니다. BPF (Berkeley 패킷 필터).
이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 모든 구문 분석 규칙 기능과 사용자 공간의 프로토콜 작업 논리를 제거 할 수 있습니다.
nftables의 주요 장점은 다음과 같습니다.
- 코어에 내장 된 아키텍처
- IPtables 도구를 단일 명령 줄 도구로 통합하는 구문
- IPtables 규칙 구문 사용을 허용하는 호환성 계층.
- 배우기 쉬운 새로운 구문.
- 방화벽 규칙을 추가하는 단순화 된 프로세스.
- 개선 된 버그보고.
- 코드 복제 감소.
- 전반적인 성능, 보존 및 규칙 필터링에 대한 점진적 변경이 향상되었습니다.
nftables 0.9.3의 새로운 기능은 무엇입니까?
이 새로운 버전의 nftables 0.9.3 일치하는 패키지에 대한 지원 추가 시간이 지남에 따라. 이것으로 시간과 날짜 간격을 정의 할 수 있습니다 규칙이 활성화되고 개별 요일에 활성화를 구성합니다. 또한 epoch 시간을 초 단위로 표시하는 새로운 "-T"옵션이 추가되었습니다.
눈에 띄는 또 다른 변화는 SELinux 태그 복원 및 저장 지원 (secmark), 예뿐만 아니라 synproxy 맵 목록 지원, 백엔드 당 둘 이상의 규칙을 정의 할 수 있습니다.
다른 변경 사항 중 이 새 버전에서 눈에 띄는 :
- 패킷 처리 규칙에서 집합 집합 요소를 동적으로 제거하는 기능.
- 네트워크 브리지 인터페이스의 메타 데이터에 정의 된 식별자 및 프로토콜 별 VLAN 매핑 지원
- 규칙을 표시 할 때 집합 집합 요소를 제외하는 옵션 "-t"( "– 간결"). "nft -t list ruleset"를 실행하면 다음이 표시됩니다.
- NFT 목록 규칙 세트.
- 공통 필터 규칙을 결합하기 위해 netdev 문자열 (커널 5.5에서만 작동)에 둘 이상의 장치를 지정하는 기능.
- 데이터 유형 설명을 추가하는 기능.
- libreadline 대신 linenoise 라이브러리를 사용하여 CLI 인터페이스를 구축하는 기능.
nftables 0.9.3의 새 버전을 설치하는 방법은 무엇입니까?
새 버전을 얻으려면 현재로서는 소스 코드 만 컴파일 할 수 있습니다. 시스템에서. 며칠 안에 이미 컴파일 된 바이너리 패키지가 다른 Linux 배포판에서 사용 가능할 것입니다.
그 외에 nftables 0.9.3이 작동하는 데 필요한 변경 사항은 향후 Linux 커널 브랜치 5.5에 포함됩니다. 따라서 컴파일하려면 다음 종속성이 설치되어 있어야합니다.
다음과 같이 컴파일 할 수 있습니다.
./autogen.sh
./configure
make
make install
그리고 nftables 0.9.3의 경우 다음 링크. 그리고 컴파일은 다음 명령으로 수행됩니다.
cd nftables
./autogen.sh
./configure
make
make install