Nova versão do nftables 0.9.3 está disponível

Fedora 32 deve mudar Firewalld de Iptables para Nftables
firewall

Alguns dias atrás, foi lançada a nova versão do filtro de pacotes nftables 0.9.3, que é desenvolvido como um substituto para iptables, ip6table, arptables e ebtables. Ele unifica as interfaces de filtragem de pacotes para IPv4, IPv6, ARP e pontes. Portanto, uma nova versão do nftables 0.9.3 está disponível.

O pacote nftables usa partes da infraestrutura do Netfilter, como o sistema de rastreamento de conexão ou o subsistema de registro. Também é fornecida uma camada de compatibilidade para a conversão das regras de firewall do iptables existentes para o equivalente em nftables.

Sobre a nova versão do nftables 0.9.3 que está disponível

O Nftables inclui componentes de filtro de pacotes que funcionam no espaço do usuário. Em relação ao kernel, o subsistema nf_tables fornece uma parte do kernel Linux desde a versão 3.13. Neste caso, apenas uma interface comum é fornecida, independente de um protocolo específico. Além disso, fornece funções básicas para extrair dados de pacotes, executar operações de dados e controlar o fluxo.

A própria lógica de filtragem e os processadores específicos do protocolo são compilados em um bytecode no espaço do usuário. Depois disso, esse bytecode é carregado no kernel usando a interface Netlink e é executado em uma máquina virtual especial com aparência de BPF (filtros de pacotes de Berkeley).

Essa abordagem permite reduzir significativamente o tamanho do código de filtragem que é executado no nível do kernel. Além disso, elimina todas as funções das regras de análise e a lógica de trabalhar com protocolos no espaço do usuário.

As principais vantagens dos nftables são:

  • Arquitetura integrada no núcleo;
  • Uma sintaxe que consolida as ferramentas de tabelas de IP em uma única ferramenta de linha de comando;
  • Uma camada de compatibilidade que permite o uso da sintaxe de regras do IPtables;
  • Uma nova sintaxe fácil de aprender;
  • Processo simplificado de adicionar regras de firewall;
  • Relatório de bug aprimorado;
  • Redução na replicação de código;
  • Melhor desempenho geral, retenção e mudanças graduais na filtragem de regras.

O que há de novo no nftables 0.9.3?

Nova versão do nftables 0.9.3 está disponível

Nesta nova versão do nftables 0.9.3 , foi adicionado suporte para pacotes correspondentes ao longo do tempo. Com isso, você pode definir os intervalos de data e hora em que a regra será ativada e configurar a ativação em dias individuais da semana. Uma nova opção “-T” também foi adicionada para mostrar o tempo em segundos.

Outra das mudanças que se destaca é o suporte para restaurar e salvar tags SELinux (secmark), bem como o suporte para listas de mapas synproxy, que permitem definir mais de uma regra por back-end.

Outras mudanças que se destacam nesta nova versão:

  • Possibilidade de remover dinamicamente elementos de conjunto de regras das regras de processamento de pacotes.
  • Suporte para mapeamento de VLAN por identificador e protocolo definido nos metadados da interface da ponte de rede
  • Opção “-t” (“–se”) para excluir elementos de conjunto de configurações ao exibir regras. Ao executar o “conjunto de regras da lista nft -t”, ele mostrará:
  • Conjunto de regras da lista Nft.
  • A capacidade de especificar mais de um dispositivo nas seqüências de caracteres netdev (funciona apenas com o kernel 5.5) para combinar regras de filtragem comuns.
  • Possibilidade de adicionar descrições de tipos de dados.
  • Capacidade de construir uma interface CLI com a biblioteca linenoise em vez de libreadline.

Como instalar a nova versão do nftables 0.9.3?

Para obter a nova versão no momento, você pode compilar apenas o código fonte no seu sistema. Embora em questão de dias os pacotes binários já compilados nas diferentes distribuições Linux estejam disponíveis.

Além das alterações necessárias para a versão nftables 0.9.3, estão incluídas na ramificação futura do kernel do Linux 5.5. Portanto, para fazer a compilação, você deve ter as seguintes dependências instaladas:

Você pode compilá-los com:

./autogen.sh
./configure
make
make install

E para o nftables 0.9.3, fazemos o download no seguinte link . E a compilação é feita com os seguintes comandos:

cd nftables
./autogen.sh
./configure
make
make install

Fonte: Desde Linux