Pirms dažām dienām tika izlaista pakešu filtra nftables 0.9.3 jaunā versija, Tas izstrādāt kā aizstājēju iptables, ip6table, arptables un ebtables pakešu filtrēšanas saskarņu vienādošanas dēļ IPv4, IPv6, ARP un tīkla tiltiem.
Nftables pakete izmanto Netfilter infrastruktūras strukturālās daļas, tāpat kā savienojuma izsekošanas sistēma (savienojuma izsekošanas sistēma) vai reģistrācijas apakšsistēma. Tiek nodrošināts saderības slānis arī esošo iptables ugunsmūra noteikumu tulkošanai to nftables kolēģiem.
Par Nftables
nftables ietver pakešu filtru komponentus kas darbojas lietotāja telpā, bet kodola līmenī - apakšsistēma nf_tabulas nodrošina daļu no Linux kodola kopš versijas 3.13.
Kodola līmenī tiek nodrošināta tikai kopēja saskarne kas nav atkarīgs no konkrēta protokola un nodrošina pamatfunkcijas datu iegūšanai no paketēm, datu darbību veikšanai un plūsmas kontrolei.
Pati filtrēšanas loģika un protokolam raksturīgie procesori tiek apkopoti lietotāja telpā esošajā baitkodā, pēc kura šis baitkods tiek ielādēts kodolā, izmantojot Netlink saskarni, un darbojas īpašā virtuālā mašīnā, kas izskatās BPF (Bērklija pakešu filtri).
Šī pieeja ļauj ievērojami samazināt kodēšanas līmenī darbojošā filtrēšanas koda lielumu un novērst visas parsēšanas kārtulu funkcionalitāti un loģiku darbam ar protokoliem lietotāja telpā.
Galvenās nftable priekšrocības ir:
- Arhitektūra, kas ir iestrādāta kodolā
- Sintakse, kas apvieno IPtables rīkus vienā komandrindas rīkā
- Saderības slānis, kas ļauj izmantot IPtables kārtulas sintaksi.
- Jauna viegli iemācāma sintakse.
- Vienkāršots ugunsmūra noteikumu pievienošanas process.
- Uzlabota ziņošana par kļūdām.
- Kodu replikācijas samazināšana.
- Labāka vispārējā veiktspēja, noturība un pakāpeniskas izmaiņas noteikumu filtrēšanā.
Kas jauns nftable 0.9.3 versijā?
Šajā jaunajā nftable versijā 0.9.3 pievienots atbalsts paku saskaņošanai laika gaitā. Ar to jūs varat noteikt laika un datuma intervālus kurā noteikums tiks aktivizēts, un konfigurējiet aktivizēšanu atsevišķās nedēļas dienās. Pievienota arī jauna opcija "-T", lai parādītu laikmeta laiku sekundēs.
Vēl viena no izmaiņām, kas izceļas, ir atbalsts SELinux tagu atjaunošanai un saglabāšanai (secmark), jā, kā arī sinhronizācijas karšu saraksta atbalsts, ļaujot katrā aizmugurē definēt vairākus noteikumus.
No pārējām izmaiņām kas izceļas no šīs jaunās versijas:
- Spēja dinamiski noņemt kopas elementus no pakešu apstrādes kārtulām.
- Atbalsts VLAN kartēšanai ar identifikatoru un protokolu, kas definēts tīkla tilta saskarnes metadatos
- Opcija "-t" ("–terse"), lai izslēgtu kopas elementus, parādot kārtulas. Izpildot "nft -t list ruleset", tas parādīs:
- Nft saraksta noteikumu kopa.
- Iespēja netdev virknēs norādīt vairāk nekā vienu ierīci (darbojas tikai ar 5.5. Kodolu), lai apvienotu parastos filtru noteikumus.
- Spēja pievienot datu tipu aprakstus.
- Spēja izveidot CLI saskarni ar linoisa bibliotēku libreadline vietā.
Kā instalēt jauno nftables 0.9.3 versiju?
Lai iegūtu jauno versiju šobrīd var apkopot tikai pirmkodu jūsu sistēmā. Lai gan dažu dienu laikā jau sastādītās binārās paketes būs pieejamas dažādos Linux izplatījumos.
Bez tam nftables 0.9.3 darbībai nepieciešamās izmaiņas ir iekļautas topošajā Linux kodola 5.5. Tādēļ, lai apkopotu, ir jābūt instalētām šādām atkarībām:
Tos var apkopot ar:
./autogen.sh
./configure
make
make install
Un nftables 0.9.3 mēs to lejupielādējam no šo saiti. Kompilācija tiek veikta ar šādām komandām:
cd nftables
./autogen.sh
./configure
make
make install