Спустя два с половиной года с момента формирования прошлой стабильной ветки 1.6.x представлен (https://marc.info/?l=netfilter-devel&m=153086953903487&w=2) iptables 1.8.0 (https://netfilter.org/projects/iptables/), новый значительный релиз инструментария для управления пакетным фильтром Linux.
Основные изменения (https://netfilter.org/projects/iptables/files/changes-iptabl...):
- Обеспечено явное разделение классического фронтэнда iptables и нового фронтэнда, построенного поверх инфраструктуры пакетного фильтра nftables и позволяющего мигрировать на технологии nftables, продолжив использовать привычные инструменты и синтаксис iptables. Классический фронтэнд теперь поставляется с явным указанием в имени исполняемых файлов слова "-legacy", например iptables-legacy и iptables-legacy-save, а файлы фронтэнда на базе nftables вместо "-compat" теперь заканчиваются на "-nft", например, iptables-nft. При запуске iptables с командой '--version' выдаётся информация о типе фронтэнда (например "iptables v1.8 (legacy)" или "iptables v1.8 (nf_tables)");
- Дистрибутивам рекомендуется устанавливать по умолчанию классческий фронтэнд для стабильных выпусков, а в экспериментальных версиях предлагать команды на базе nftables в качестве альтернативы c созданием симлинков iptables, ip6tables, iptables-restore и т.п., указывающих на xtables-nft-multi. В качестве плюсов применения варианта на базе nftables отмечается отсутствие необходимости применения опции "--wait" для решения проблем с одновременным запуском, поддержка монитринга набора правил при помощи сторонних фоновых процессов, предоставление возможностей для отладки правил (xtables-monitor --trace в сочетании с iptables-действием TRACE) и возможность добавления/удаления правил не меняя внутреннее состояние таких критериев как органичения и квоты;
- Применяемый для IPv6 критерий (match) 'srh' теперь может применяться для сопоставления с прошлым, следующим и последним идентификатором сеанса (SID);
- В действии (target) CONNMARK обеспечена поддержка операций битового сдвига для критериев restore-mark, set-mark и save-mark;
- В DNAT теперь допустимо использовать сдвинутые диапазоны portmap;
- В бэкенд nf_tables добавлены новые команды:
- xtables-monitor - отображает изменения в наборе правил и информацию о трассировке пакетов для отладки правил.
- ebtables - функциональность для замены утилиты ebtables;
- arptables - функциональность для замены утилиты arptables;
- Добавлено семейство утилит 'translate' (ip6tables-translate, ip6tables-restore-translate, iptables-restore-translate, iptables-translate) для преобразования синтаксиса iptables в родные наборы правил nftables, воспринимаемые утилитой nft.
URL: https://marc.info/?l=netfilter-devel&m=153086953903487&w=2
Новость: https://www.opennet.ru/opennews/art.shtml?num=48936