Pred nekaj dnevi izdana je bila nova različica paketnega filtra nftables 0.9.3, To razviti kot zamenjava za iptables, ip6table, arptables in ebtables zaradi poenotenja vmesnikov za filtriranje paketov za IPv4, IPv6, ARP in omrežne mostove.
Paket nftables uporablja strukturne dele infrastrukture Netfilterkot on sistem za sledenje povezavi (sistem za sledenje povezavi) ali registracijski podsistem. Na voljo je tudi sloj združljivosti za prevajanje obstoječih pravil požarnega zidu iptables v njihove ustreznike v nftables.
O Nftables
nftables vključuje komponente paketnega filtra ki delujejo v uporabniškem prostoru, medtem ko je na ravni jedra podsistem nf_tabele ponuja del jedra Linuxa od različice 3.13.
Na ravni jedra je na voljo le skupni vmesnik ki je neodvisen od določenega protokola in zagotavlja osnovne funkcije za pridobivanje podatkov iz paketov, izvajanje podatkovnih operacij in nadzor pretoka.
Sama logika filtriranja in procesorji, specifični za protokol, se v uporabniškem prostoru zberejo v bajtno kodo, nato pa se ta bajtoda naloži v jedro z uporabo vmesnika Netlink in zažene v posebnem navideznem računalniku, ki izgleda BPF (Berkeley Packet Filters).
Ta pristop vam omogoča, da znatno zmanjšate velikost kode za filtriranje, ki se izvaja na ravni jedra, in odpravite vse funkcije razčlenjevanja pravil in logiko dela s protokoli v uporabniškem prostoru.
Glavne prednosti nftables so:
- Arhitektura, ki je vpeta v jedro
- Sintaksa, ki združuje orodja IPtables v eno orodje ukazne vrstice
- Sloj združljivosti, ki omogoča uporabo sintakse pravila IPtables.
- Nova sintaksa, ki se je enostavno naučiti.
- Poenostavljen postopek dodajanja pravil požarnega zidu.
- Izboljšano poročanje o napakah.
- Zmanjšanje podvajanja kode.
- Boljša splošna zmogljivost, hramba in postopne spremembe za filtriranje pravil.
Kaj je novega v nftables 0.9.3?
V tej novi različici nftables 0.9.3 dodana podpora za ujemajoče se pakete čez čas. S tem lahko določite časovni in datumski interval v katerem se bo pravilo aktiviralo in konfiguriralo aktiviranje v posameznih dneh v tednu. Dodana je tudi nova možnost "-T" za prikaz obdobja v sekundah.
Druga izstopajoča sprememba je podpora za obnovo in shranjevanje oznak SELinux (znak oznake), da, tudi podpora za sezname zemljevidov sinproksi, ki vam omogoča, da določite več kot eno pravilo na zaledje.
Od ostalih sprememb ki izstopajo iz te nove različice:
- Sposobnost dinamičnega odstranjevanja elementov nabora naborov iz pravil za obdelavo paketov.
- Podpora za preslikavo VLAN z identifikatorjem in protokolom, opredeljenim v metapodatkih vmesnika omrežnega mostu
- Možnost "-t" ("–terse") za izključitev elementov set-set pri prikazu pravil. Med izvajanjem "nft -t seznam pravil pravil" bo prikazano:
- Nastavljeno pravilo seznama Nft.
- Možnost podajanja več kot ene naprave v nizih netdev (deluje samo s jedrom 5.5) za kombiniranje običajnih pravil filtriranja.
- Možnost dodajanja opisov podatkovnih tipov.
- Sposobnost izdelave vmesnika CLI s knjižnico linenoise namesto libreadline.
Kako namestiti novo različico nftables 0.9.3?
Da bi dobili novo različico trenutno je mogoče sestaviti samo izvorno kodo v vašem sistemu. Čeprav bodo čez nekaj dni že sestavljeni binarni paketi na voljo znotraj različnih distribucij Linuxa.
Poleg tega spremembe, potrebne za delovanje nftables 0.9.3, so vključene v prihodnjo vejo jedra Linux 5.5. Zato morate za prevajanje namestiti naslednje odvisnosti:
Te je mogoče sestaviti z:
./autogen.sh
./configure
make
make install
In za nftables 0.9.3 jo prenesemo iz naslednjo povezavo. In sestavljanje se izvede z naslednjimi ukazi:
cd nftables
./autogen.sh
./configure
make
make install