Prieš kelias dienas buvo išleista nauja paketinio filtro nftables 0.9.3 versija, Tai kurti kaip pakeičiamus „iptables“, „ip6table“, „arptable“ ir „ebtables“ dėl paketų filtravimo sąsajų suvienodinimo IPv4, IPv6, ARP ir tinklo tiltams.
„Nftables“ paketas naudoja struktūrines „Netfilter“ infrastruktūros dalis, kaip ryšio sekimo sistema (ryšio stebėjimo sistema) arba registracijos posistemį. Taip pat pateikiamas suderinamumo sluoksnis esamoms „iptables“ užkardos taisyklėms versti į jų „nftables“ atitikmenis.
Apie „Nftables“
nftables apima paketinių filtrų komponentus kurie veikia vartotojo erdvėje, o branduolio lygmeniu - posistemį nf_tables pateikia „Linux“ branduolio dalį nuo 3.13 versijos.
Branduolio lygmenyje pateikiama tik bendra sąsaja kuris nepriklauso nuo konkretaus protokolo ir teikia pagrindines funkcijas duomenims iš paketų išgauti, duomenų operacijoms atlikti ir srautui valdyti.
Pati filtravimo logika ir konkretiems protokolams skirti procesoriai yra sukomponuoti į vartotojo kodo baitų kodą, po kurio šis baitinis kodas įkeliamas į branduolį naudojant „Netlink“ sąsają ir vykdomas specialioje virtualioje mašinoje, kuri atrodo kaip BPF („Berkeley Packet Filters“).
Šis metodas leidžia žymiai sumažinti filtravimo kodo, kuris veikia branduolio lygiu, dydį ir pašalinti visas analizavimo taisyklių funkcionalumą ir darbo su protokolais logiką vartotojo erdvėje.
Pagrindiniai nftable privalumai yra šie:
- Architektūra, kuri yra įdėta į šerdį
- Sintaksė, sujungianti „IPtables“ įrankius į vieną komandinės eilutės įrankį
- Suderinamumo sluoksnis, leidžiantis naudoti „IPtables“ taisyklių sintaksę.
- Nauja lengvai išmokstama sintaksė.
- Supaprastintas užkardos taisyklių pridėjimo procesas.
- Patobulintas pranešimas apie klaidas.
- Kodo replikacijos sumažinimas.
- Geresnis bendras našumas, išlaikymas ir laipsniški taisyklių filtravimo pakeitimai.
Kas naujo „nftables 0.9.3“?
Šioje naujoje „nftables“ versijoje 0.9.3 pridėta parama derinant paketus su laiku. Tuo galite nustatyti laiko ir datos intervalus kurioje bus suaktyvinta taisyklė ir sukonfigūruokite aktyvavimą atskiromis savaitės dienomis. Taip pat pridėta nauja parinktis „-T“, kad epochos laikas būtų rodomas sekundėmis.
Kitas išsiskiriantis pakeitimas yra palaikymas atkuriant ir išsaugant SELinux žymas Taip, taip pat sinchroninių žemėlapių sąrašų palaikymas, leidžiantis apibrėžti daugiau nei vieną taisyklę kiekvienoje užpakalinėje dalyje.
Iš kitų pokyčių kurie išsiskiria iš šios naujos versijos:
- Galimybė dinamiškai pašalinti rinkinio elementus iš paketų apdorojimo taisyklių.
- Palaikymas VLAN atvaizdavimui pagal identifikatorių ir protokolą, apibrėžtus tinklo tilto sąsajos metaduomenyse
- Variantas „-t“ („–terse“) išskirti rinkinio elementus rodant taisykles. Vykdant „nft -t sąrašo taisyklių rinkinį“, jis parodys:
- Nft sąrašo taisyklė nustatyta.
- Galimybė nurodyti daugiau nei vieną įrenginį „netdev“ eilutėse (veikia tik su 5.5 branduoliu), kad būtų galima sujungti bendras filtravimo taisykles.
- Galimybė pridėti duomenų tipų aprašymus.
- Galimybė sukurti „CLI“ sąsają su „linoise“ biblioteka, o ne „libreadline“.
Kaip įdiegti naują „nftables 0.9.3“ versiją?
Norėdami gauti naują versiją šiuo metu galima sudaryti tik šaltinio kodą jūsų sistemoje. Nors per kelias dienas jau sukompiliuoti dvejetainiai paketai bus prieinami skirtinguose „Linux“ paskirstymuose.
neskaitant to būtini pakeitimai, kad „nftables 0.9.3“ veiktų, yra būsimame „Linux“ branduolio filiale 5.5. Todėl, norėdami sukompiliuoti, turite įdiegti šias priklausomybes:
Juos galima sudaryti:
./autogen.sh
./configure
make
make install
O „nftables 0.9.3“ atsisiunčiame iš šią nuorodą. Kompiliavimas atliekamas naudojant šias komandas:
cd nftables
./autogen.sh
./configure
make
make install