iptables 1.8.11 traz melhorias de compatibilidade e desempenho para firewalls Linux

Após um ano de desenvolvimento, foi lançada a nova versão do iptables, o popular conjunto de ferramentas de firewall para Linux, agora em sua versão 1.8.11. Essa atualização tem foco na manutenção da compatibilidade com sistemas baseados em nftables, permitindo que administradores de sistema continuem a utilizar o sintaxe familiar do iptables, mas com a performance e modernidade do nftables. O iptables 1.8.11 integra várias melhorias, novas funcionalidades e correções de bugs para atender tanto usuários tradicionais quanto aqueles que já utilizam nftables como backend.

Principais novidades e funcionalidades

1. arptables-translate: Uma das principais adições é a ferramenta arptables-translate, projetada para converter regras arptables para o formato compatível com nftables. Isso facilita a migração de configurações antigas para o novo padrão, simplificando o processo para quem utiliza regras ARP específicas.
2. Aprimoramentos no ebtables-nft: Diversos comandos novos foram adicionados à ferramenta ebtables-nft, incluindo suporte para --change-counters, --replace e --list-rules. Também foi introduzida a possibilidade de definir contadores para regras com o sintaxe -c N,M, permitindo controle mais preciso sobre pacotes e estatísticas.
3. Compatibilidade ampliada com TPROXY e xt_socket: O iptables-translate agora oferece suporte para a meta TPROXY e para o teste de sockets (match), garantindo maior flexibilidade em configurações avançadas de rede.
4. Busca implícita de extensões de protocolo: Para facilitar a configuração e manter compatibilidade com iptables-save, agora o iptables realiza busca automática de extensões para os protocolos dccp e ipcomp, eliminando a necessidade de inserir -m <proto> após -p <proto>.
5. Melhorias no desempenho do iptables-save: O iptables-save foi otimizado, removendo chamadas desnecessárias para getprotobynumber(), o que aumenta a performance, especialmente ao lidar com grandes conjuntos de regras.
6. Configuração com flexibilidade ampliada: O script configure agora permite desativar a compilação com libnfnetlink, oferecendo mais opções para personalização do build de acordo com as necessidades do sistema.

Correções importantes

O iptables 1.8.11 também traz correções de bugs significativos que melhoram a estabilidade e a usabilidade do sistema. Dentre eles, estão ajustes no arptables-nft para corrigir formatação e máscaras nos tipos de protocolos, melhorias na manipulação de contadores de regras individuais e a solução de um problema com mensagens de erro inadequadas em situações específicas.

Outras correções abrangem o ebtables-nft e o iptables-legacy, incluindo a solução de um problema com o comando --wait que resultava em comportamento inesperado. Além disso, o sistema agora oferece alinhamento mais consistente na saída de eventos de monitoramento de regras, beneficiando scripts e automação.