Релиз iptables 1.4.11 и conntrack-tools 1.0.027.05.2011 14:05

Вышло обновление пакетного фильтра iptables 1.4.11 в котором реализована полная совместимость с Linux-ядром 2.6.39 и внесено около 300 изменений, среди которых:

Переход на новый управляемый парсер опций ("guided option parser"), который заменил собой большое число отдельных блоков кода, привязанных к обработке отдельных опций;

Поддержка действия "SET", добавленного в ядро 2.6.39 в связи с интеграцией в ядро ipset;

Поддержка критерия devgroup, проверяющего совпадение с группой устройств, определенных через iproute2;

Реализация нового действия AUDIT для записи в лог всей информации о действиях, связанных с определенным типом операций;

Поддержка опции NFQUEUE, позволяющей миновать прохождение пакета через очередь в случае отсутствия приминающего соединения процесса в пространстве пользователя;

Для проверки существования правила в iptables добавлена опция "-C";

Добавлен исполняемый файл xtables-multi, поддерживающий одновременно работу с IPv4 и IPv6.

Одновременно представлен релиз пакета conntrack-tools 1.0.0, содержащего набор средств для управления таблицами установленных TCP-соединений (conntrack). Кроме утилиты для выполнения таких задач, как просмотр, отслеживание изменений и модификация содержимого conntrack-таблицы, в состав паркета входит фоновый процесс, дающий возможность обеспечить возможность централизованного накопления статистики или выполнения синхронизации conntrack-таблиц между несколькими серверами, что может быть использовано для построения кластеров высокой доступности.

В новой версии:

Улучшена инфраструктура сборки, расширена документация;
В утилите conntrack добавлена поддержка состояния SYN_SENT2 (поддерживается Linux-ядром начиная с версии 2.6.31)
Возможность обновления или отмены событий ожидаемых слушающим сокетом (поддерживается Linux-ядром начиная с версии 2.6.37);
Поддержка временных меток в conntrack-таблице "-o ktimestamp"(поддерживается Linux-ядром начиная с версии 2.6.38).