The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз iptables 1.4.11 и conntrack-tools 1.0.0

27.05.2011 15:05

Вышло обновление iptables 1.4.11, набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter. В новой версии реализована полная совместимость с Linux-ядром 2.6.39 и внесено около 300 изменений, среди которых:

  • Переход на новый управляемый парсер опций ("guided option parser"), который заменил собой большое число отдельных блоков кода, привязанных к обработке отдельных опций;
  • Поддержка действия "SET", добавленного в Linux-ядро 2.6.39 в связи с интеграцией в ядро ipset;
  • Поддержка критерия devgroup, проверяющего совпадение с группой устройств, определенных через iproute2;
  • Реализация нового действия AUDIT для записи в лог всей информации о действиях, связанных с определенным типом операций;
  • Поддержка опции NFQUEUE, позволяющей миновать прохождение пакета через очередь в случае отсутствия принимающего соединения процесса в пространстве пользователя;
  • Для проверки существования правила в iptables добавлена опция "-C";
  • Поддержка в connlimit опции "--connlimit-upto" и возможности установки лимита соединений для заданного адреса назначения (ранее поддерживалась установка лимита только для исходных адресов);
  • Добавлен исполняемый файл xtables-multi, поддерживающий одновременно работу с IPv4 и IPv6.

Одновременно представлен релиз пакета conntrack-tools 1.0.0, содержащего набор средств для управления таблицами установленных соединений (conntrack). Кроме утилиты для выполнения таких задач, как просмотр, отслеживание изменений и модификация содержимого conntrack-таблицы, в состав пакета входит фоновый процесс, дающий возможность обеспечить централизованное накопление статистики или организовать синхронизацию conntrack-таблиц между несколькими серверами, что может быть использовано для построения кластеров высокой доступности.

В новой версии:

  • Улучшена инфраструктура сборки, расширена документация;
  • В утилите conntrack добавлена поддержка состояния SYN_SENT2 (поддерживается Linux-ядром начиная с версии 2.6.31)
  • Возможность обновления или отмены событий, ожидаемых слушающим сокетом (поддерживается Linux-ядром начиная с версии 2.6.37);
  • Поддержка временных меток в conntrack-таблице "-o ktimestamp"(поддерживается Linux-ядром начиная с версии 2.6.38).


  1. Главная ссылка к новости (http://lists.netfilter.org/pip...)
  2. OpenNews: Релиз iptables 1.4.10
  3. OpenNews: Релиз iptables 1.4.9
  4. OpenNews: Релиз пакетного фильтра iptables 1.4.8
  5. OpenNews: Релиз пакетного фильтра iptables 1.4.7
Лицензия: CC-BY
Тип: Программы
Ключевые слова: iptables, netfilter
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (4) RSS
  • 1.2, non anon (?), 16:58, 27/05/2011 [ответить]  
  • +2 +/
    Во-первых, называть iptables пакетным фильтром безграмотно (это всего лишь программа для управления фреймворком фильтрации и преобразования пакетов Netfilter, работающим на уровне ядра).
    Во-вторых, не отражено такое интересное изменение, как поддержка лимита соединений для заданного адреса назначения в connlimit (раньше было только для исходных адресов).
     
  • 1.3, non anon (?), 17:01, 27/05/2011 [ответить]  
  • +1 +/
    >таблицами установленных TCP-соединений (conntrack)

    Еще одна неточность. conntrack вводит понятие соединения даже для тех протоколов, в которых его изначально не было, и поэтому кроме TCP отслеживаются UDP, UDPLite, SCTP, DCCP, ICMP, ICMPv6.

     
     
  • 2.4, non anon (?), 17:02, 27/05/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Впрочем, в том же SCTP понятие соединения и так существовало.
    Основная мысль в том, что conntrack - это не только TCP.
     

  • 1.5, Аноним (-), 19:11, 27/05/2011 [ответить]  
  • +/
    connlimit сила, надо начинать тестить ак оно будет сейчас работать,  блогдаря ему торренты не так страшны)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру