E foi lançado o nftables 1.0.7 com melhorias, correções, bem como alguns novos recursos. Confira as novidades e veja como instalar no Linux.
nftables é um projeto que fornece filtragem e classificação de pacotes no Linux. Ele unifica as interfaces de filtragem de pacotes para IPv4, IPv6, ARP e bridging de rede (destinado a substituir iptables, ip6table, arptables e ebtables).
Ao mesmo tempo, a biblioteca de plug-ins libnftnl 1.2.3 foi lançada, fornecendo uma API de baixo nível para interagir com o subsistema nf_tables.
O pacote nftables inclui componentes de filtro de pacotes que funcionam no espaço do usuário, enquanto no nível do kernel, o subsistema nf_tables fornece uma parte do kernel do Linux desde a versão 3.13.
No nível do kernel, apenas uma interface comum é fornecida independente de um protocolo específico e fornece as funções básicas de extração de dados de pacotes, execução de operações de dados e controle de fluxo.
Regras de filtro direto e drivers específicos de protocolo são compilados em bytecode de espaço de usuário, após o qual esse bytecode é carregado no kernel usando a interface Netlink e executado no kernel em uma máquina virtual especial que se assemelha a BPF (Berkeley Packet Filters).
Agora, foi publicado o lançamento do filtro de pacotes nftables 1.0.7, que vem com algumas melhorias, correções, bem como alguns novos recursos.
Novidades do nftables 1.0.7
Nesta nova versão do nftables 1.0.7, para sistemas de kernel Linux 6.2+, foi adicionado suporte para correspondência de protocolo vxlan, geneve, gre e gretap, permitindo que expressões simples verifiquem cabeçalhos em pacotes encapsulados.
Por exemplo, para verificar o endereço IP no cabeçalho de um pacote VxLAN aninhado, agora você pode usar regras (sem a necessidade de primeiro desencapsular o cabeçalho VxLAN e vincular o filtro à interface vxlan0):
Além disso, também é importante destacar que foi implementado o suporte para mesclagem automática de resíduos após a remoção parcial de um item da lista de configuração, o que permite remover um item ou parte de um intervalo de um intervalo existente (anteriormente, um intervalo só poderia ser removido em sua totalidade).
Por exemplo, após remover o item 25 de uma lista definida com os intervalos 24-30 e 40-50, 24, 26-30 e 40-50 permanecerá na lista. As correções necessárias para que a fusão automática funcione serão fornecidas em versões de patch das ramificações estáveis do kernel 5.10+.
É importante destacar também que foi adicionado suporte para a expressão “last”, que permite saber a última vez que o elemento da regra ou lista de configuração foi utilizado. Este recurso é suportado desde o kernel Linux 5.14.
Por outro lado, também é importante notar que um novo comando “destroy” foi adicionado para excluir objetos incondicionalmente (ao contrário do comando delete, ele não gera ENOENT ao tentar excluir um objeto ausente). Requer pelo menos o kernel Linux 6.3-rc para funcionar.
- O uso de constantes em set-lists é permitido. Por exemplo, usando uma lista do endereço de destino e ID da VLAN como chave, você pode especificar diretamente o número da VLAN (daddr . 123):
- Adicionada a capacidade de definir cotas nas listas de configuração. Por exemplo, para definir uma cota de tráfego para cada endereço IP de destino, você pode especificar .
- Permita que contatos e intervalos sejam usados no mapeamento de conversão de endereços (NAT).
Para saber mais sobre essa versão do nftables, acesse a nota de lançamento.
Como instalar ou atualizar o nftables
Para instalar a versão mais recente do nftables nas principais distribuições Linux, use esse tutorial:
Para aqueles que estão interessados em obter a nova versão do nftables 1.0.7 no momento, você só pode compilar o código-fonte em seu sistema. Embora em questão de dias os pacotes binários já compilados nas diferentes distribuições Linux estarão disponíveis.
Para compilar, você deve ter as seguintes dependências instaladas:
libmnl
libnftnl
Você pode compilá-los com:
./autogen.sh
./configure
make
make install
E para nftables 1.0.5, baixamos isso no seguinte endereço. E a compilação é feita com os seguintes comandos:
cd nftables
./autogen.sh
./configure
make
make install
Muito bom amigo, vc tem contribuído muito com os usuários do linux.