Acum câteva zile Noua versiune a filtrului de pachete nftables 0.9.3 a fost lansată, Acea dezvoltați ca înlocuitor pentru iptables, ip6table, arptables și ebtables datorită unificării interfețelor de filtrare a pachetelor pentru IPv4, IPv6, ARP și poduri de rețea.
Pachetul nftables folosește părți structurale ale infrastructurii NetfilterCa sistem de urmărire a conexiunii (sistemul de urmărire a conexiunii) sau subsistemul de înregistrare. Un strat de compatibilitate este, de asemenea, prevăzut pentru traducerea regulilor firewall-ului iptables existente în echivalentele lor în nftables.
Despre Nftables
Nftables include componente ale filtrului de pachete care operează în spațiul utilizatorului, în timp ce la nivel de kernel, subsistemul nf_tables furnizează o parte a nucleului Linux începând cu versiunea 3.13.
La nivel de kernel, este furnizată doar o interfață comună care este independent de un protocol specific și oferă funcții de bază pentru extragerea datelor din pachete, efectuarea operațiunilor de date și controlul fluxului.
Logica de filtrare în sine și procesoarele specifice protocolului sunt compilate în bytecode în spațiul utilizatorului, după care acest bytecode este încărcat în kernel folosind interfața Netlink și executat într-o mașină virtuală specială care arată ca BPF (Berkeley Packet Filters).
Această abordare vă permite să reduceți semnificativ dimensiunea codului de filtrare care rulează la nivel de kernel și să eliminați toate funcțiile regulilor de analizare și logica lucrului cu protocoale în spațiul utilizatorului.
Principalele avantaje ale nftables sunt:
- Arhitectură care este integrată în nucleu
- O sintaxă care consolidează instrumentele IPtables într-un singur instrument de linie de comandă
- Un strat de compatibilitate care permite utilizarea sintaxei regulilor IPtables.
- O nouă sintaxă care este ușor de învățat.
- Proces simplificat de adăugare a regulilor de firewall.
- Raportarea erorilor îmbunătățită.
- Reducerea replicării codului.
- Performanță generală mai bună, reținere și modificări incrementale la filtrarea regulilor.
Ce este nou în nftables 0.9.3?
În această nouă versiune a nftables 0.9.3 a adăugat suport pentru pachetele de potrivire peste orar. Cu aceasta puteți defini intervalele de timp și date pe care va fi activată regula și configurați activarea în anumite zile ale săptămânii. De asemenea, a adăugat o nouă opțiune „-T” pentru a afișa ora epocii în secunde.
O altă schimbare care iese în evidență este cea suport pentru restaurarea și salvarea etichetelor SELinux (secmark), da, precum și suport pentru liste de hărți synproxy, permițându-vă să definiți mai mult de o regulă pentru fiecare backend.
Dintre celelalte schimbări care se deosebesc de această nouă versiune:
- Abilitatea de a elimina în mod dinamic elementele set-set din regulile de procesare a pachetelor.
- Suport pentru maparea VLAN prin identificator și protocol definit în metadatele interfeței punții de rețea
- Opțiunea „-t” (“–concis”) pentru a exclude elementele set-set la afișarea regulilor. Rularea „nft -t list ruleset” va afișa:
- set de reguli liste nft.
- Posibilitatea de a specifica mai mult de un dispozitiv în lanțurile netdev (funcționează numai cu kernel-ul 5.5) pentru a combina regulile comune de filtrare.
- Posibilitatea de a adăuga descrieri ale tipurilor de date.
- Abilitatea de a construi o interfață CLI cu biblioteca linenoise în loc de libreadline.
Cum se instalează noua versiune de nftables 0.9.3?
Pentru a obține noua versiune momentan poate fi compilat doar codul sursă pe sistemul dvs. Deși în câteva zile pachetele binare deja compilate vor fi disponibile în cadrul diferitelor distribuții Linux.
Pe lângă asta Modificările necesare pentru ca nftables 0.9.3 să funcționeze sunt incluse în viitoarea ramură a nucleului Linux 5.5. Deci, pentru a compila, trebuie să aveți instalate următoarele dependențe:
Acestea pot fi compilate cu:
./autogen.sh
./configure
make
make install
Și pentru nftables 0.9.3 îl descărcăm de la următorul link. Și compilarea se face cu următoarele comenzi:
cd nftables
./autogen.sh
./configure
make
make install