شنبه , ۱ آبان ۱۴۰۰

انتشار رسمی nftables

اولین انتشار رسمی nftables در لینوکس ۳٫۱۳ بود . nftables جایگزین iptables است . البته هنوز در نسخه ۳٫۱۳ به تکامل نرسیده است و بسیاری از خصوصیات آن آماده به کار نیست اما با این حال در بیشتر موارد امکان استفاده از آن وجود دارد و در نسخه ۳٫۱۵ لینوکس باید این خصوصیات تکمیل گردد .

nftables با یک ابزار جدید خط فرمان با نام nft آمد . nft جانشین iptables و مشتقات آن (ip6tables, arptables) است . و نحو یا سینتکس آن کاملاً متفاوت است . اگر شما از iptables استفاده می کردید شوکه خواهید شد . اما یک لایه تطبیق وجود دارد که به شما اجازه می دهد از iptables استفاده کنید حتی اگر فیلتر پکت های شبکه در هسته لینوکس بوسیله nftables انجام شود .
در حال حاضر مستندات کمی در مورد nftables وجود دارد ولی در آینده نزدیک فراگیر خواهد شد در لینک زیر یک آموزش خیلی خوب برای nftables موجود است :

https://home.regit.org/netfilter-en/nftables-quick-howto
مزیت ها :
۱- سرعت در آپدیت
۲- آپدیت کمتر کرنل
در iptables هر تطبیق یا هدف نیازمند یک ماجول کرنل بود بنابراین شما مجبور به کامپایل مجدد کرنل در هر مورد داشتید ولی در nftables دیگر نیاز به این کار ندارید و بیشتر عملیات در فضای کاربر انجام می گیرد .

یک مثال برای مقایسه :
اگر شما لاگ بسته ها حذف شده پورت ۲۲ را نیاز داشته باشید باید دو قانون زیر را تعریف کنید :

iptables -A FORWARD -p tcp –dport 22 -j LOG
iptables -A FORWARD -p tcp –dport 22 -j DROP

اما بوسیله nft شما هر دوی این قوانین را می توانید ترکیب کنید :

nft add rule filter forward tcp dport 22 log drop

پاسخ بدهید

آدرس ایمیل شما منتشر نخواهد شدفیلدهای الزامی علامت دار شده اند *

*