Novas funcionalidades

iptables 1.8.11 traz melhorias de compatibilidade e desempenho para firewalls Linux

Ilustração de segurança de firewall no Linux com cadeado e código digital ao fundo, representando a proteção de servidores através de firewalls.

Após um ano de desenvolvimento, foi lançada a nova versão do iptables, o popular conjunto de ferramentas de firewall para Linux, agora em sua versão 1.8.11. Essa atualização tem foco na manutenção da compatibilidade com sistemas baseados em nftables, permitindo que administradores de sistema continuem a utilizar o sintaxe familiar do iptables, mas com a performance e modernidade do nftables. O iptables 1.8.11 integra várias melhorias, novas funcionalidades e correções de bugs para atender tanto usuários tradicionais quanto aqueles que já utilizam nftables como backend.

Principais novidades e funcionalidades

  1. arptables-translate: Uma das principais adições é a ferramenta arptables-translate, projetada para converter regras arptables para o formato compatível com nftables. Isso facilita a migração de configurações antigas para o novo padrão, simplificando o processo para quem utiliza regras ARP específicas.
  2. Aprimoramentos no ebtables-nft: Diversos comandos novos foram adicionados à ferramenta ebtables-nft, incluindo suporte para --change-counters, --replace e --list-rules. Também foi introduzida a possibilidade de definir contadores para regras com o sintaxe -c N,M, permitindo controle mais preciso sobre pacotes e estatísticas.
  3. Compatibilidade ampliada com TPROXY e xt_socket: O iptables-translate agora oferece suporte para a meta TPROXY e para o teste de sockets (match), garantindo maior flexibilidade em configurações avançadas de rede.
  4. Busca implícita de extensões de protocolo: Para facilitar a configuração e manter compatibilidade com iptables-save, agora o iptables realiza busca automática de extensões para os protocolos dccp e ipcomp, eliminando a necessidade de inserir -m <proto> após -p <proto>.
  5. Melhorias no desempenho do iptables-save: O iptables-save foi otimizado, removendo chamadas desnecessárias para getprotobynumber(), o que aumenta a performance, especialmente ao lidar com grandes conjuntos de regras.
  6. Configuração com flexibilidade ampliada: O script configure agora permite desativar a compilação com libnfnetlink, oferecendo mais opções para personalização do build de acordo com as necessidades do sistema.

Correções importantes

O iptables 1.8.11 também traz correções de bugs significativos que melhoram a estabilidade e a usabilidade do sistema. Dentre eles, estão ajustes no arptables-nft para corrigir formatação e máscaras nos tipos de protocolos, melhorias na manipulação de contadores de regras individuais e a solução de um problema com mensagens de erro inadequadas em situações específicas.

Outras correções abrangem o ebtables-nft e o iptables-legacy, incluindo a solução de um problema com o comando --wait que resultava em comportamento inesperado. Além disso, o sistema agora oferece alinhamento mais consistente na saída de eventos de monitoramento de regras, beneficiando scripts e automação.

Documentação e atualizações de manuais

Para auxiliar os usuários, a documentação foi revisada e aprimorada. Notas adicionais foram incluídas, esclarecendo valores padrão de configurações e o estado obsoleto de alguns parâmetros, como ip_pkt_list_tot. Além disso, atualizações foram feitas em diversas páginas de manual para garantir que estejam atualizadas com as mudanças no kernel e com as novas funcionalidades do iptables.

Considerações finais e recomendações

O iptables 1.8.11 reforça o compromisso com a compatibilidade e eficiência, oferecendo aos administradores Linux uma ferramenta de firewall robusta e moderna. Para aqueles que estão migrando para nftables, essa versão simplifica a transição ao mesmo tempo que preserva a funcionalidade e o desempenho. É recomendado que usuários e administradores realizem o upgrade para aproveitar as novas funcionalidades e melhorias de segurança.

Como obter o iptables 1.8.11

A nova versão pode ser baixada diretamente do site oficial do projeto Netfilter. Para compilar o código, é necessário o libnftnl 1.2.6, disponível na mesma página. Em caso de bugs, a comunidade é incentivada a relatá-los via Bugzilla, contribuindo para o aperfeiçoamento contínuo da ferramenta.