4.13. Vernetzung (Maschinenübersetzung)

nftables ersetzt iptablesals Standard-Framework für die Paketfilterung im Netzwerk

Das nftablesFramework bietet Paketklassifizierungsfunktionen und ist der designierte Nachfolger der ebtablesToolsiptables, ip6tables,,arptables, und. Es bietet zahlreiche Verbesserungen in Bezug auf Komfort, Funktionen und Leistung gegenüber früheren Tools zur Paketfilterung, insbesondere:

  • nachschlagetabellen statt linearer Verarbeitung
  • ein einheitlicher Rahmen für das Protokoll IPv4und IPv6die Protokolle
  • regeln, die alle atomar angewendet werden, anstatt einen kompletten Regelsatz zu holen, zu aktualisieren und zu speichern
  • unterstützung für Debugging und Tracing im Regelsatz (nftrace) und Überwachung von Trace-Ereignissen (im nftTool)
  • konsistentere und kompaktere Syntax, keine protokollspezifischen Erweiterungen
  • eine Netlink-API für Drittanwendungen

Ähnlich wie iptablesbei der nftablesVerwendung von Tabellen zur Speicherung von Ketten. Die Ketten enthalten individuelle Regeln für die Durchführung von Aktionen. Das nftTool ersetzt alle Tools aus den vorherigen Paketfilter-Frameworks. Die libnftablesBibliothek kann für die Low-Level-Interaktion mit der nftablesNetlink-API über die libmnlBibliothek verwendet werden.

Dieiptables,ip6tables, ebtablesund arptablesWerkzeuge werden durch nftables-basierte Drop-In-Ersatzteile mit dem gleichen Namen ersetzt. Während das externe Verhalten identisch mit dem ihrer Vorgänger ist, verwenden sie intern nftablesmit netfilterLegacy-Kernel-Modulen über eine Kompatibilitätsschnittstelle, falls erforderlich.

Die Wirkung der Module auf den nftablesRegelsatz kann mit dem nft list rulesetBefehl beobachtet werden. Da diese Werkzeuge dem nftablesRegelsatz Tabellen, Ketten und Regeln hinzufügen, ist zu beachten, dass nftablesRegelsatzoperationen, wie z.B. der nft flush rulesetBefehl, Auswirkungen auf Regelsätze haben können, die mit den zuvor separaten Legacy-Befehlen installiert wurden.

Um schnell zu erkennen, welche Variante des Tools vorhanden ist, wurden die Versionsinformationen aktualisiert, um den Backend-Namen aufzunehmen. In RHEL 8 druckt das nftables-basierte iptablesTool die folgende Versionszeichenkette aus:

$ iptables --version
iptables v1.8.0 (nf_tables)

Zum Vergleich werden die folgenden Versionsinformationen gedruckt, wenn ein iptablesLegacy-Tool vorhanden ist:

$ iptables --version
iptables v1.8.0 (legacy)

(BZ#1644030)

Bemerkenswerte TCP-Funktionen in RHEL 8

Red Hat Enterprise Linux 8 wird mit dem TCP-Netzwerkstapel Version 4.16 ausgeliefert, der höhere Leistung, bessere Skalierbarkeit und Stabilität bietet. Insbesondere bei stark ausgelasteten TCP-Servern mit hoher Verbindungsrate werden die Leistungen gesteigert.

Zusätzlich sind zwei neue TCP-Kongestionsalgorithmen BBRund NV, verfügbar, die in den meisten Szenarien eine geringere Latenz und einen besseren Durchsatz als cubic bieten.

(BZ#1562998)

firewalld verwendet nftablesstandardmäßig

Mit diesem Update ist das nftablesFilter-Subsystem das Standard-Firewall-Backend für den firewalldDaemon. Um das Backend zu ändern, verwenden Sie die FirewallBackendOption in der /etc/firewalld.confDatei.

Diese Änderung führt zu folgenden Unterschieden im Verhalten bei der Verwendung nftablesvon :

  1. iptables regelausführungen finden immer vor firewalldRegeln statt

    • DROP d.hiptables. ein Paket wird nie gesehen von firewalld
    • ACCEPT d.hiptables. ein Paket unterliegt noch den firewalldRegeln
  2. firewalld direkte Regeln werden weiterhin durchgesetztiptables, während andere firewalldFunktionen verwendet werden nftables
  3. die direkte Ausführung der Regeln erfolgt vor der firewalldgenerischen Akzeptanz der etablierten Verbindungen

(BZ#1509026)

Bemerkenswerte Veränderung in wpa_supplicantRHEL 8

In Red Hat Enterprise Linux (RHEL) 8 wird das wpa_supplicantPaket mit CONFIG_DEBUG_SYSLOGaktiviertem. Dies ermöglicht das Lesen des wpa_supplicantProtokolls mit dem journalctlDienstprogramm, anstatt den Inhalt der /var/log/wpa_supplicant.logDatei zu überprüfen.

(BZ#1582538)

NetworkManager unterstützt jetzt virtuelle SR-IOV-Funktionen

In Red Hat Enterprise Linux 8.0 ermöglicht NetworkManager die Konfiguration der Anzahl der virtuellen Funktionen (VF) für Schnittstellen, die Single Root I/O Virtualization (SR-IOV) unterstützen. Darüber hinaus ermöglicht NetworkManager die Konfiguration einiger Attribute der VFs, wie MAC-Adresse, VLAN, spoof checkingEinstellung und zulässige Bitraten. Beachten Sie, dass alle Eigenschaften von SR-IOV in der sriovVerbindungseinstellung verfügbar sind. Weitere Informationen finden Sie in der nm-settings(5)Man Page.

(BZ#1555013)

IPVLAN virtuelle Netzwerktreiber werden nun unterstützt

In Red Hat Enterprise Linux 8.0 bietet der Kernel Unterstützung für virtuelle IPVLAN-Netzwerktreiber. Mit diesem Update ermöglichen virtuelle IPVLAN-Netzwerkschnittstellenkarten (NICs) die Netzwerkkonnektivität für mehrere Container, die eine einzige MAC-Adresse für das lokale Netzwerk freigeben. Dies ermöglicht es einem einzelnen Host, viele Container zu haben, die die mögliche Begrenzung der Anzahl der MAC-Adressen, die von den Peer-Netzwerkgeräten unterstützt werden, überwinden.

(BZ#1261167)

NetworkManager unterstützt eine Übereinstimmung des Namens der Wildcard-Schnittstelle für Verbindungen

Bisher war es möglich, eine Verbindung zu einer bestimmten Schnittstelle nur mit einer genauen Übereinstimmung des Schnittstellennamens einzuschränken. Mit diesem Update haben Verbindungen eine neue match.interface-nameEigenschaft, die Wildcards unterstützt. Mit diesem Update können Benutzer die Schnittstelle für eine Verbindung flexibler über ein Wildcardmuster auswählen.

(BZ#1555012)

Verbesserungen im Netzwerkstapel 4.18

Red Hat Enterprise Linux 8.0 enthält den auf die Upstream-Version 4.18 aktualisierten Netzwerkstapel, der mehrere Bugfixes und Verbesserungen bietet. Zu den bemerkenswerten Änderungen gehören:

  • Es wurden neue Entladefunktionen eingeführt, wie z.B.UDP_GSO, und, für einige Gerätetreiber, GRO_HW.
  • Verbesserte signifikante Skalierbarkeit für das User Datagram Protocol (UDP).
  • Der generische Abfragecode für beschäftigte Benutzer wurde verbessert.
  • Verbesserte Skalierbarkeit des IPv6-Protokolls.
  • Verbesserte Skalierbarkeit des Routing-Codes.
  • Es wurde ein neuer Standard-Sendewarteschlangenplanungsalgorithmus hinzugefügt,fq_codelder eine Übertragungsverzögerung verbessert.
  • Verbesserte Skalierbarkeit für einige Algorithmen zur Sendewarteschlangenplanung. Zum Beispiel, pfifo_fastist jetzt ohne Sperre.

(BZ#1562987)

Neue Tools zur Umstellung iptablesauf nftables

Dieses Update fügt die iptables-translateund ip6tables-translateWerkzeuge hinzu, um die bestehenden iptablesoder ip6tablesRegeln in die entsprechenden Regeln für nftables. Beachten Sie, dass einigen Erweiterungen die Übersetzungsunterstützung fehlt. Wenn eine solche Erweiterung existiert, druckt das Tool die unübersetzte Regel, der das #Vorzeichen vorangestellt ist. Zum Beispiel:

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill
| nft # -A INPUT -j CHECKSUM --checksum-fill

Darüber hinaus können Benutzer die iptables-restore-translateund ip6tables-restore-translateWerkzeuge verwenden, um einen Dump von Regeln zu übersetzen. Beachten Sie, dass Benutzer zuvor mit den Befehlen iptables-saveoder ip6tables-saveeinen Speicherauszug der aktuellen Regeln drucken können. Zum Beispiel:

| % sudo iptables-save >/tmp/iptables.dump
| % iptables-restore-translate -f /tmp/iptables.dump
| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018
| add table ip nat
| ...

(BZ#1564596)

Neue Funktionen in VPN mit NetworkManager hinzugefügt

In Red Hat Enterprise Linux 8.0 bietet NetworkManager die folgenden neuen Funktionen für VPN:

  • Unterstützung des Protokolls Internet Key Exchange Version 2 (IKEv2).
  • Es wurden weitere Libreswan-Optionen hinzugefügt, wie z.B. die fragmentationOptionenrightid,leftcert,,narrowing,rekey,,. Weitere Informationen zu den unterstützten Optionen finden Sie in der nm-settings-libreswanMan Page.
  • Die Standard-Chiffren wurden aktualisiert. Das bedeutet, dass, wenn der Benutzer die Verschlüsselungen nicht angibt, das NetworkManager-libreswan-Plugin es der Libreswan-Anwendung ermöglicht, die Standardverschlüsselung des Systems auszuwählen. Die einzige Ausnahme ist, wenn der Benutzer eine IKEv1-Aggressionsmodus-Konfiguration auswählt. In diesem Fall werden die ike = aes256-sha1;modp1536und eps = aes256-sha1Werte an Libreswan weitergegeben.

(BZ#1557035)

Ein neuer Daten-Chunk-Typ, I-DATAhinzugefügt zu SCTP

Dieses Update fügt dem Stream Control Transmission Protocol (SCTP) einen neuen Daten-Chunk-Typ und I-DATAStream-Scheduler hinzu. Bisher hat SCTP Benutzernachrichten in der gleichen Reihenfolge gesendet, in der sie von einem Benutzer gesendet wurden. Folglich blockierte eine große SCTP-Benutzernachricht alle anderen Nachrichten in jedem Stream, bis sie vollständig gesendet wurde. Bei der Verwendung von I-DATAChunks ist das Feld Transmission Sequence Number (TSN) nicht überladen. Infolgedessen kann SCTP nun die Streams auf verschiedene Arten planen und I-DATAermöglicht die Verschachtelung von Benutzernachrichten (RFC 8260). Beachten Sie, dass beide Peers den I-DATAChunk-Typ unterstützen müssen.

(BZ#1273139)