经典的数据包过滤器管理工具包 iptables 1.8.8 已经发布,其开发最近主要集中在保持向后兼容性的组件上 - iptables-nft 和 ebtables-nft,提供与 iptables 和 ebtables 相同的命令行语法的实用程序,但是将生成的规则转换为 nf_tables 字节码。 最初的 iptables 程序集(包括 ip6tables、arptables 和 ebtables)已于 2018 年弃用,并且在大多数发行版中已被 nftables 取代。
在新版本中:
- iptables-translate 实用程序中添加了对 connlimit 和 tcpmss 表达式的支持,该实用程序可将 iptables 规则转换为 nftables 规则集,并且已实现使用“--chunk-types”和“--ports”选项的功能sctp 和多端口块。
- 将 conntrack 块和“--tcp-flags”选项简化翻译为 nftables 规则。
- 当从带有 setuid 标志的可执行文件调用时,libxtables 被禁用。
- iptables-nft 实用程序允许删除嵌入的链。
- arptables-nft 实用程序中的规则解析器已添加到 iptables-nft 中。
- arptables-nft 实用程序添加了对“-C”和“-S”命令的支持,实现了“-I”和“-R”命令的规则索引,并添加了对“-c N,M”的支持计数器语法。
- *NAT 表不再支持同时指定多个 IPv4 地址范围。
- 通过重新指定“-v”选项,实现了在 iptables-restore、iptables-nft 和 ebtables-nft 中启用调试输出的功能。
- 改进了 iptables-save 和 iptables-restore 实用程序的性能。
来源: opennet.ru