De nieuwe versie van nftables 0.9.3 is nu beschikbaar

Darkcrizt

4 minuten

NFT-tabellen

Een paar dagen geleden de nieuwe versie van het pakketfilter nftables 0.9.3 is uitgebracht, welke ontwikkelen als vervanging voor iptables, ip6table, arptables en ebtables dankzij de unificatie van pakketfilterinterfaces voor IPv4, IPv6, ARP en netwerkbruggen.

Het nftables-pakket maakt gebruik van structurele onderdelen van de Netfilter-infrastructuurZoals verbinding volgsysteem (verbindingsopsporingssysteem) of het registratiesubsysteem. Een compatibiliteitslaag is ook voorzien om de bestaande iptables firewall regels te vertalen naar hun equivalenten in nftables.

Over Nftables

nftables bevat pakketfiltercomponenten die werken in de gebruikersruimte, terwijl op het kernelniveau het subsysteem nf_tabellen biedt een deel van de Linux-kernel sinds versie 3.13.

Op het kernelniveau wordt alleen een gemeenschappelijke interface geboden die onafhankelijk is van een specifiek protocol en basisfuncties biedt om gegevens uit pakketten te extraheren, gegevensbewerkingen uit te voeren en de stroom te controleren.

De filterlogica zelf en de protocolspecifieke processors worden in de gebruikersruimte gecompileerd tot een bytecode, waarna deze bytecode met behulp van de Netlink-interface in de kernel wordt geladen en in een speciale virtuele machine wordt uitgevoerd die eruitziet als BPF (Berkeley Packet Filters).

Met deze benadering kunt u de grootte van de filtercode die op kernelniveau wordt uitgevoerd aanzienlijk verkleinen en alle functionaliteit voor ontleedregels en de logica van het werken met protocollen in de gebruikersruimte elimineren.

De belangrijkste voordelen van nftables zijn:

  • Architectuur die in de kern is ingebed
  • Een syntaxis die IPtables-tools consolideert in één opdrachtregelprogramma
  • Een compatibiliteitslaag die het gebruik van IPtables-regelsyntaxis mogelijk maakt.
  • Een nieuwe, gemakkelijk te leren syntaxis.
  • Vereenvoudigd proces voor het toevoegen van firewallregels.
  • Verbeterde bugrapportage.
  • Vermindering van codereplicatie.
  • Betere algehele prestaties, behoud en incrementele wijzigingen in het filteren van regels.

Wat is er nieuw in nftables 0.9.3?

In deze nieuwe versie van nftables 0.9.3 ondersteuning toegevoegd voor bijpassende pakketten na verloop van tijd. Hiermee kunt u de tijd- en datumintervallen definiëren waarin de regel wordt geactiveerd en configureer de activering op individuele dagen van de week. Ook een nieuwe "-T" -optie toegevoegd om de epochetijd in seconden weer te geven.

Een andere opvallende verandering is de ondersteuning voor het herstellen en opslaan van SELinux tags (secmark), ja evenals de ondersteuning voor synproxy map-lijsten, waardoor u meer dan één regel per backend kunt definiëren.

Van de andere veranderingen die zich onderscheiden van deze nieuwe versie:

  • Mogelijkheid om set-set elementen dynamisch te verwijderen uit pakketverwerkingsregels.
  • Ondersteuning voor VLAN-mapping op ID en protocol gedefinieerd in de metadata van de netwerkbruginterface
  • Optie "-t" ("–terse") om set-set elementen uit te sluiten bij het weergeven van regels. Als u "nft -t list ruleset" uitvoert, wordt het volgende weergegeven:
  • Nft-lijstregelset.
  • De mogelijkheid om meer dan één apparaat in netdev-strings te specificeren (werkt alleen met kernel 5.5) om algemene filterregels te combineren.
  • Mogelijkheid om beschrijvingen van gegevenstypen toe te voegen.
  • Mogelijkheid om een ​​CLI-interface te bouwen met de linenoise-bibliotheek in plaats van libreadline.

Hoe installeer ik de nieuwe versie van nftables 0.9.3?

Om de nieuwe versie te krijgen momenteel kan alleen de broncode worden gecompileerd op uw systeem. Hoewel binnen een paar dagen de reeds gecompileerde binaire pakketten beschikbaar zullen zijn binnen de verschillende Linux-distributies.

Daarnaast de wijzigingen die nodig zijn om nftables 0.9.3 te laten werken, zijn opgenomen in de toekomstige Linux-kerneltak 5.5. Daarom moeten de volgende afhankelijkheden zijn geïnstalleerd om te compileren:

Deze kunnen worden samengesteld met:

./autogen.sh
./configure
make
make install

En voor nftables 0.9.3 downloaden we het van de volgende link. En de compilatie wordt gedaan met de volgende opdrachten:

cd nftables
./autogen.sh
./configure
make
make install


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.