A nova versão do nftables 0.9.3 já está disponível

Tabelas NFT

Faz alguns dias a nova versão do filtro de pacotes nftables 0.9.3 foi lançada, Que se desenvolver como substituição para iptables, ip6table, arptables e ebtables devido à unificação de interfaces de filtragem de pacotes para IPv4, IPv6, ARP e pontes de rede.

O pacote nftables usa partes estruturais da infraestrutura NetfilterComo sistema de rastreamento de conexão (sistema de rastreamento de conexão) ou o subsistema de registro. Uma camada de compatibilidade também é fornecida para traduzir as regras de firewall de iptables existentes para suas contrapartes nftables.

Sobre Nftables

Nfttables inclui componentes de filtro de pacote que funcionam no espaço do usuário, enquanto no nível do kernel, o subsistema nf_tables fornece uma parte do kernel Linux desde a versão 3.13.

No nível do kernel, apenas uma interface comum é fornecida que é independente de um protocolo específico e fornece funções básicas para extrair dados de pacotes, executar operações de dados e controlar o fluxo.

A própria lógica de filtragem e os processadores específicos do protocolo são compilados em um bytecode no espaço do usuário, após o qual esse bytecode é carregado no kernel usando a interface Netlink e executado em uma máquina virtual especial que se parece com BPF (Berkeley Packet Filters).

Essa abordagem permite que você reduza significativamente o tamanho do código de filtragem executado no nível do kernel e elimine todas as funcionalidades de regras de análise e a lógica de trabalhar com protocolos no espaço do usuário.

As principais vantagens dos nftables são:

  • Arquitetura que está embutida no núcleo
  • Uma sintaxe que consolida as ferramentas IPtables em uma única ferramenta de linha de comando
  • Uma camada de compatibilidade que permite o uso da sintaxe da regra IPtables.
  • Uma nova sintaxe fácil de aprender.
  • Processo simplificado de adição de regras de firewall.
  • Relatório de bug aprimorado.
  • Redução na replicação de código.
  • Melhor desempenho geral, retenção e alterações incrementais na filtragem de regras.

O que há de novo no nftables 0.9.3?

Nesta nova versão do nftables 0.9.3 adicionado suporte para pacotes correspondentes ao longo do tempo. Com isso você pode definir os intervalos de hora e data em que a regra será ativada e configurar a ativação em dias individuais da semana. Também foi adicionada uma nova opção "-T" para exibir o tempo da época em segundos.

Outra das mudanças que se destaca é a suporte para restaurar e salvar tags SELinux (secmark), sim, bem como o suporte para listas de mapas synproxy, permitindo que você defina mais de uma regra por back-end.

Das outras mudanças que se destacam nesta nova versão:

  • Capacidade de remover dinamicamente elementos set-set das regras de processamento de pacotes.
  • Suporte para mapeamento de VLAN por identificador e protocolo definido nos metadados da interface de ponte de rede
  • Opção "-t" ("–terse") para excluir elementos set-set ao exibir regras. Ao executar "nft -t list ruleset", ele mostrará:
  • Conjunto de regras da lista Nft.
  • A capacidade de especificar mais de um dispositivo em strings netdev (funciona apenas com kernel 5.5) para combinar regras de filtro comuns.
  • Capacidade de adicionar descrições de tipo de dados.
  • Capacidade de construir uma interface CLI com a biblioteca linenoise em vez de libreadline.

Como instalar a nova versão do nftables 0.9.3?

Para obter a nova versão no momento, apenas o código fonte pode ser compilado em seu sistema. Embora em questão de dias os pacotes binários já compilados estarão disponíveis nas diferentes distribuições do Linux.

Além disso as alterações necessárias para que o nftables 0.9.3 funcione estão incluídas no futuro branch 5.5 do kernel Linux. Portanto, para compilar, você deve ter as seguintes dependências instaladas:

Eles podem ser compilados com:

./autogen.sh
./configure
make
make install

E para nftables 0.9.3 nós baixamos de o seguinte link. E a compilação é feita com os seguintes comandos:

cd nftables
./autogen.sh
./configure
make
make install


O conteúdo do artigo segue nossos princípios de Ética editorial. Para relatar um erro, clique Clique aqui.

Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.