È stato rilasciato il classico toolkit di gestione del filtro dei pacchetti iptables 1.8.8, il cui sviluppo si è recentemente concentrato sui componenti per mantenere la compatibilità con le versioni precedenti: iptables-nft e ebtables-nft, che forniscono utilità con la stessa sintassi della riga di comando di iptables ed ebtables, ma traducendo le regole risultanti in bytecode nf_tables. Il set originale di programmi iptables, inclusi ip6tables, arptables ed ebtables, è stato deprecato nel 2018 ed è già stato sostituito da nftables nella maggior parte delle distribuzioni.
Nella nuova versione:
- È stato aggiunto il supporto per le espressioni connlimit e tcpmss all'utilità iptables-translate, che converte le regole iptables in set di regole nftables, ed è stata implementata la possibilità di utilizzare le opzioni “--chunk-types” e “--ports” per blocchi sctp e multiporta.
- Traduzione semplificata dei blocchi conntrack e dell'opzione “--tcp-flags” nelle regole di nftables.
- libxtables è disabilitato quando viene chiamato da eseguibili con il flag setuid.
- L'utilità iptables-nft consente di eliminare catene incorporate.
- Un parser di regole dell'utility arptables-nft è stato aggiunto a iptables-nft.
- L'utilità arptables-nft ha aggiunto il supporto per i comandi '-C' e '-S', implementata l'indicizzazione delle regole per i comandi '-I' e '-R' e aggiunto il supporto per '-c N,M' sintassi del contatore.
- *Le tabelle NAT non supportano più la specifica di più intervalli di indirizzi IPv4 contemporaneamente.
- Implementata la possibilità di abilitare l'output di debug in iptables-restore, iptables-nft e ebtables-nft specificando nuovamente l'opzione '-v'.
- Prestazioni migliorate delle utilità iptables-save e iptables-restore.
Fonte: opennet.ru