Обновление iptables 1.4.14 и conntrack-tools 1.2
Доступно обновление iptables 1.4.14, набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter. В новой версии реализована полная совместимость с Linux-ядром 3.4 и исправлено несколько ошибок. В частности, добавлена поддержка появившейся в ядре 3.4 инфраструктуры cttimeout, позволяющая привязать определённые политики использования таймаутов для потока через действие "CT" в iptables.Для определения политики применения таймаутов следует использовать новую утулиту nfct, которую можно найти в составе новой версии пакета conntrack-tools. Также подготовлена специальная библиотека libnetfilter_cttimeout, предоставляющая программный интерфейс к инфраструктуре cttimeout. В качестве примера создадим политику custom-tcp-policy и привяжем её к трафику, идущему от IP 1.1.1.1 к IP 2.2.2.2:
nfct timeout add custom-tcp-policy1 inet tcp established 200 iptables -I PREROUTING -t raw -s 1.1.1.1 -d 2.2.2.2 -p tcp \ -j CT --timeout custom-tcp-policy1
Одновременно представлен релиз инструментария conntrack-tools 1.2.0, содержащего набор средств для управления таблицами установленных соединений (conntrack). Кроме утилиты для выполнения таких задач, как просмотр, отслеживание изменений и модификация содержимого conntrack-таблицы, в состав пакета входит фоновый процесс conntrackd, дающий возможность обеспечить централизованное накопление статистики или организовать синхронизацию conntrack-таблиц между несколькими серверами, что может быть использовано для построения кластеров высокой доступности.
В новой версии conntrack-tools добавлена поддержка синхронизации ожидания (ExpectationSync) для обеспечения согласованного отслеживания соединений для протоколов, использующих отдельные потоки для управления и передачи данных (например, FTP, H.323 и SIP). Вторым значительным улучшением, является утилита nfct. В настоящее время утилита nfct поддерживает только управление политиками cttimeout, но в будущем функциональность будет расширена и со временем данная утилита полностью заменит собой программу conntrack.
© OpenNet