NFTables to projekt poświęcony filtrowaniu i klasyfikacji pakietów w systemie Linux.
Zapowiedział uruchomienie nowa wersja nftables 1.0.8, wersja, w której wprowadzono różne zmiany, poprawki błędów i ulepszenia kompatybilności.
Dla tych, którzy nie są świadomi nftables, powinni wiedzieć, że to jest rozwijać jako zamiennik dla iptables, ip6table, arptables i ebtables dzięki ujednoliceniu interfejsów filtrowania pakietów dla IPv4, IPv6, ARP i mostów sieciowych.
Pakiet nftables wykorzystuje elementy strukturalne infrastruktury Netfilter, tak jak system śledzenia połączeń (system śledzenia połączeń) lub podsystem rejestracji. Zapewniona jest również warstwa kompatybilności do tłumaczenia istniejących reguł zapory iptables na ich odpowiedniki w nftables.
Główne nowe funkcje nftables 1.0.8
W tej nowej wersji, która pochodzi z nftables 1.0.8, wyróżnia się wprowadzenie kompatybilności z «meta» i «ct» z innych pól w regulaminie. Kolejną zmianą wyróżniającą się w nowej wersji jest to, że optymalizator reguł do obsługi deklaracji NAT, poprawiono pakowanie wyrażeń związanych z translacją adresów (NAT).
Oprócz tego podkreśla uproszczona składnia polecenia „reset”. aby zresetować informacje stanowe w regułach, takie jak liczniki i stan przydziału. Wspomniano, że nie trzeba już określać słowa kluczowego table podczas resetowania nazwanych obiektów stanowych.
W systemach z jądrem Linux 6.5, dodano obsługę resetowania wyrażeń stanowych (liczy do zera) w listach przedmiotów, zestawach i mapach.
Z drugiej strony, teraz w nftables 1.0.8 podczas próby załadowania reguł, które przekraczają limit rozmiaru stosowany w nieuprzywilejowanej przestrzeni nazw (na przykład podczas próby załadowania list GeoIP w kontenerze), zaleca się zwiększenie wartości parametru „/proc/sys/net/core/wmem_max”.}
Podkreśla się to również w zestawach do przystawek (konkatenacja, określone pakiety adresów i portów, które upraszczają porównanie), zaimplementowano możliwość określania stałych, Oprócz wyjścia „nft zestawów list”, domyślnie włączone jest wyświetlanie elementów listy. Opcja „-t” („–zwięzłe”) służy do wyłączania wyświetlania elementów.
z inne zmiany które wyróżniają się na tle nowej wersji:
- Dodano obsługę wyświetlania komentarzy podczas generowania tabel i ciągów znaków w formacie JSON
- Dodano możliwość używania formatu JSON podczas dopasowywania danych hermetyzowanych i tunelowanych. Na przykład, aby porównać z polem dscp zawartym w nagłówku vxlan,
- Dodano obsługę formatu JSON w wyrażeniu „ostatnio używane”, które pokazuje, kiedy ostatnio użyto reguły lub elementu listy.
- Powiązania Pythona zastąpiły distutils narzędziami konfiguracyjnymi.
- Poprawione komunikaty diagnostyczne dotyczące błędów spowodowanych nieprawidłowym wyborem typu danych i nieprawidłowym użyciem skoku/idź na mapie.
- Problem z wyświetlaniem nieprawidłowych komunikatów o błędach z powodu braku specyfikacji protokołu transportowego podczas korzystania z wyrażeń mapy formularza
- Anonimowe listy map obsługują wyrażenia stanowe, takie jak liczniki
- Możliwe jest teraz pakowanie zestawów reguł z przypisaniami „ct status” bez utraty możliwości liczenia pakietów.
- Aktualizowanie urządzeń w istniejących łańcuchach netdev.
w końcu jeśli jesteś chcesz dowiedzieć się więcej na ten temat tej nowej wersji, możesz sprawdzić szczegóły w następujący link.
Jak zainstalować nową wersję nftables 1.0.8?
Aby uzyskać nową wersję w tej chwili można skompilować tylko kod źródłowy w twoim systemie. Chociaż w ciągu kilku dni już skompilowane pakiety binarne będą dostępne w różnych dystrybucjach Linuksa.
Kompilacja nftables wymaga dwóch zależności, którymi są biblioteka y biblioteka libnftnl, których możesz pobrać ich kod źródłowy i skompilować każdy z nich za pomocą następujących poleceń:
./autogen.sh
./configure
make
make install
Teraz w przypadku nftables musimy uzyskać nową wersję, z której pobraliśmy poniższy link. A kompilacja odbywa się za pomocą następujących poleceń:
cd nftables
./autogen.sh
./configure
make
make install