После полутора лет разработки опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.12, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости — iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов.
В новой версии:
- В утилите iptables-nft реализована поддержка атомарного добавления и замены правил в одной транзакции. *filter -A FORWARD -m comment —comment «new rule being replaced» -R FORWARD 1 -m comment —comment «new replacing rule» COMMIT
- В утилите xtables-monitor появилась поддержка распознания операций удаления базовых цепочек (INPUT, FORWARD, OUTPUT) и вывода в этом случае команды «iptables -X имя_цепочки».
- Обеспечена трансляция в формат nftables правил c протоколом ‘-p sctp’, но без явного указания модуля ‘-m sctp’, как это делается для TCP и UDP (достаточно указать «-p tcp» или «-p udp», а «-m tcp» или «-m udp» применится автоматически).
- Добавлена поддержка ICPM-пакетов info-request и info-reply.
- Исправлены ошибки в утилитах iptables-translate и ip6tables-translate, используемых для преобразования правил в nftables.
Источник: opennet.ru
