La boîte à outils classique de gestion de filtre de paquets iptables 1.8.8 a été publiée, dont le développement s'est récemment concentré sur les composants permettant de maintenir la compatibilité ascendante - iptables-nft et ebtables-nft, fournissant des utilitaires avec la même syntaxe de ligne de commande que dans iptables et ebtables, mais traduire les règles résultantes en bytecode nf_tables. L'ensemble original de programmes iptables, notamment ip6tables, arptables et ebtables, est obsolète en 2018 et a déjà été remplacé par nftables dans la plupart des distributions.
Dans la nouvelle version:
- La prise en charge des expressions connlimit et tcpmss a été ajoutée à l'utilitaire iptables-translate, qui convertit les règles iptables en ensembles de règles nftables, et la possibilité d'utiliser les options « --chunk-types » et « --ports » a été implémentée pour le blocs sctp et multiport.
- Traduction simplifiée des blocs conntrack et de l'option « --tcp-flags » en règles nftables.
- libxtables est désactivé lorsqu'il est appelé à partir d'exécutables avec l'indicateur setuid.
- L'utilitaire iptables-nft permet de supprimer les chaînes intégrées.
- Un analyseur de règles de l'utilitaire arptables-nft a été ajouté à iptables-nft.
- L'utilitaire arptables-nft a ajouté la prise en charge des commandes '-C' et '-S', implémenté l'indexation des règles pour les commandes '-I' et '-R' et ajouté la prise en charge de '-c N,M'. syntaxe du compteur.
- *Les tables NAT ne prennent plus en charge la spécification de plusieurs plages d'adresses IPv4 à la fois.
- Implémentation de la possibilité d'activer la sortie de débogage dans iptables-restore, iptables-nft et ebtables-nft en respécifiant l'option '-v'.
- Amélioration des performances des utilitaires iptables-save et iptables-restore.
Source: opennet.ru