Релиз iptables 1.8.012.07.2018 22:15

Спустя два с половиной года с момента формирования прошлой стабильной ветки 1.6.x представлен iptables 1.8.0, новый значительный релиз инструментария для управления пакетным фильтром Linux.

Основные изменения:

  • Обеспечено явное разделение классического фронтэнда iptables и нового фронтэнда, построенного поверх инфраструктуры пакетного фильтра nftables и позволяющего мигрировать на технологии nftables, продолжив использовать привычные инструменты и синтаксис iptables. Классический фронтэнд теперь поставляется с явным указанием в имени исполняемых файлов слова »-legacy», например iptables-legacy и iptables-legacy-save, а файлы фронтэнда на базе nftables вместо »-compat» теперь заканчиваются на »-nft», например, iptables-nft. При запуске iptables с командой '--version' выдаётся информация о типе фронтэнда (например «iptables v1.8 (legacy)» или «iptables v1.8 (nf_tables)»);
  • Дистрибутивам рекомендуется устанавливать по умолчанию классческий фронтэнд для стабильных выпусков, а в экспериментальных версиях предлагать команды на базе nftables в качестве альтернативы c созданием симлинков iptables, ip6tables, iptables-restore и т.п., указывающих на xtables-nft-multi. В качестве плюсов применения варианта на базе nftables отмечается отсутствие необходимости применения опции »--wait» для решения проблем с одновременным запуском, поддержка монитринга набора правил при помощи сторонних фоновых процессов, предоставление возможностей для отладки правил (xtables-monitor --trace в сочетании с iptables-действием TRACE) и возможность добавления/удаления правил не меняя внутреннее состояние таких критериев как органичения и квоты;
  • Применяемый для IPv6 критерий (match) 'srh' теперь может применяться для сопоставления с прошлым, следующим и последним идентификатором сеанса (SID);
  • В действии (target) CONNMARK обеспечена поддержка операций битового сдвига для критериев restore-mark, set-mark и save-mark;
  • В DNAT теперь допустимо использовать сдвинутые диапазоны portmap;
  • В бэкенд nf_tables добавлены новые команды:
    • xtables-monitor — отображает изменения в наборе правил и информацию о трассировке пакетов для отладки правил.
    • ebtables — функциональность для замены утилиты ebtables;
    • arptables — функциональность для замены утилиты arptables;
  • Добавлено семейство утилит 'translate' (ip6tables-translate, ip6tables-restore-translate, iptables-restore-translate, iptables-translate) для преобразования синтаксиса iptables в родные наборы правил nftables, воспринимаемые утилитой nft.

© OpenNet