4.13. Trabajo en red (traducción automática)

nftables reemplaza iptablescomo el marco de filtrado de paquetes de red predeterminado

El nftablesmarco proporciona instalaciones de clasificación de paquetes y es el sucesor designado de los iptablesip6tables, arptables, y ebtablesherramientas. Ofrece numerosas mejoras en comodidad, características y rendimiento en comparación con las herramientas de filtrado de paquetes anteriores, sobre todo:

  • tablas de búsqueda en lugar de procesamiento lineal
  • un marco único tanto para los IPv6protocolos IPv4como para los protocolos
  • todas las reglas se aplican atómicamente en lugar de obtener, actualizar y almacenar un conjunto de reglas completo
  • soporte para depuración y rastreo en el conjunto de reglas (nftrace) y monitoreo de eventos de rastreo (en la nftherramienta)
  • sintaxis más consistente y compacta, sin extensiones específicas de protocolo
  • una API de Netlink para aplicaciones de terceros

Al igual que en el caso de las cadenas de almacenamientoiptables, nftablesutilice tablas para almacenarlas. Las cadenas contienen reglas individuales para realizar acciones. La nftherramienta reemplaza todas las herramientas de los marcos de trabajo de filtrado de paquetes anteriores. La libnftablesbiblioteca se puede utilizar para la interacción de bajo nivel con la API de nftablesNetlink a través de la libmnlbiblioteca.

Las iptablesherramientas , ip6tables, ebtablesy las arptablesherramientas se sustituyen por reemplazos sin cita previa basados en nftables con el mismo nombre. Mientras que el comportamiento externo es idéntico al de sus homólogos heredados, internamente utilizan nftablescon módulos del netfilternúcleo heredados a través de una interfaz de compatibilidad cuando es necesario.

El efecto de los módulos sobre el nftablesconjunto de reglas se puede observar usando el nft list rulesetcomando. Dado que estas herramientas añaden tablas, cadenas y reglas al nftablesconjunto de reglas, tenga en cuenta que las operaciones de conjunto nftablesde reglas, como el nft flush rulesetcomando, pueden afectar a los conjuntos de reglas instalados utilizando los comandos heredados anteriormente separados.

Para identificar rápidamente qué variante de la herramienta está presente, se ha actualizado la información de la versión para incluir el nombre del back-end. En RHEL 8, la herramienta basada en nftables iptablesimprime la siguiente cadena de versión:

$ iptables --version
iptables v1.8.0 (nf_tables)

Para la comparación, se imprime la siguiente información de versión si la herramienta heredada iptablesestá presente:

$ iptables --version
iptables v1.8.0 (legacy)

(BZ#1644030)

Funciones TCP notables en RHEL 8

Red Hat Enterprise Linux 8 se distribuye con la versión 4.16 de la pila de redes TCP, que proporciona un mayor rendimiento, mejor escalabilidad y más estabilidad. Las prestaciones se incrementan especialmente para servidores TCP ocupados con una alta tasa de conexión de entrada.

Además, están disponibles dos nuevos algoritmos de congestión TCP, BBRy NV,, que ofrecen una latencia más baja y un mejor rendimiento que el cúbico en la mayoría de los escenarios.

(BZ#1562998)

firewalld usos nftablespor defecto

Con esta actualización, el subsistema de nftablesfiltrado es el backend predeterminado del firewall para el firewallddemonio. Para cambiar el módulo de servicio, utilice la FirewallBackendopción del /etc/firewalld.confarchivo.

Este cambio introduce las siguientes diferencias en el comportamiento cuando se utilizanftables..:

  1. iptables las ejecuciones de reglas siempre ocurren antes firewalldque las reglas

    • DROP en iptablessignifica que un paquete nunca es visto por firewalld
    • ACCEPT en iptablessignifica que un paquete sigue estando sujeto a firewalldreglas
  2. firewalld las reglas directas se siguen implementando a través de otras firewalldfunciones, iptablesmientras que otras utilizan nftables
  3. la ejecución directa de la regla ocurre antes de la aceptación firewalldgenérica de las conexiones establecidas

(BZ#1509026)

Cambios notables en wpa_supplicantRHEL 8

En Red Hat Enterprise Linux (RHEL) 8, el wpa_supplicantpaquete está construido con la opción CONFIG_DEBUG_SYSLOGenabled. Esto permite leer el wpa_supplicantregistro utilizando la journalctlutilidad en lugar de comprobar el contenido del /var/log/wpa_supplicant.logarchivo.

(BZ#1582538)

NetworkManager ahora soporta funciones virtuales SR-IOV

En Red Hat Enterprise Linux 8.0, NetworkManager permite configurar el número de funciones virtuales (VF) para interfaces que soportan la virtualización de E/S de raíz única (SR-IOV). Además, NetworkManager permite configurar algunos atributos de los VFs, como la dirección MAC, VLAN, la spoof checkingconfiguración y las velocidades de bits permitidas. Tenga en cuenta que todas las propiedades relacionadas con SR-IOV están disponibles en la configuración de sriovconexión. Para más detalles, consulte la página de nm-settings(5)manual.

(BZ#1555013)

Ahora se admiten controladores de red virtual IPVLAN

En Red Hat Enterprise Linux 8.0, el kernel incluye soporte para controladores de red virtual IPVLAN. Con esta actualización, las Tarjetas de Interfaz de Red virtuales IPVLAN (NICs) permiten la conectividad de red para múltiples contenedores exponiendo una sola dirección MAC a la red local. Esto permite que un único host tenga muchos contenedores, superando la posible limitación en el número de direcciones MAC soportadas por el equipo de red de pares.

(BZ#1261167)

NetworkManager soporta un nombre de interfaz comodín que coincide con el nombre de las conexiones

Anteriormente, era posible restringir una conexión a una interfaz determinada utilizando sólo una coincidencia exacta en el nombre de la interfaz. Con esta actualización, las conexiones tienen una nueva match.interface-namepropiedad que soporta comodines. Esta actualización permite a los usuarios elegir la interfaz para una conexión de forma más flexible utilizando un patrón de caracteres comodín.

(BZ#1555012)

Mejoras en la pila de redes 4.18

Red Hat Enterprise Linux 8.0 incluye la pila de redes actualizada a la versión 4.18, que proporciona varias correcciones y mejoras. Los cambios notables incluyen:

  • Se introdujeron nuevas funciones de descarga, como UDP_GSO, y, para algunos controladores de dispositivos, GRO_HW.
  • Escalabilidad significativa mejorada para el Protocolo de Datagramas de Usuario (UDP).
  • Mejorado el código genérico de sondeo de ocupado.
  • Escalabilidad mejorada para el protocolo IPv6.
  • Escalabilidad mejorada para el código de enrutamiento.
  • Añadido un nuevo algoritmo de programación de colas de transmisión por defecto,fq_codel, que mejora el retardo de transmisión.
  • Escalabilidad mejorada para algunos algoritmos de programación de colas de transmisión. Por ejemplo, pfifo_fastahora no tiene cerradura.

(BZ#1562987)

Nuevas herramientas para convertir iptablesa nftables

Esta actualización añade las herramientas iptables-translatey ip6tables-translatepara convertir las reglas existentes iptableso ip6tableslas reglas en las equivalentes para nftables. Tenga en cuenta que algunas extensiones carecen de soporte de traducción. Si existe tal extensión, la herramienta imprime la regla no traducida precedida por el #signo. Por ejemplo:

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill
| nft # -A INPUT -j CHECKSUM --checksum-fill

Además, los usuarios pueden utilizar las herramientas iptables-restore-translatey ip6tables-restore-translatepara traducir un volcado de reglas. Tenga en cuenta que antes de eso, los usuarios pueden usar los comandos iptables-saveo ip6tables-savepara imprimir un volcado de las reglas actuales. Por ejemplo:

| % sudo iptables-save >/tmp/iptables.dump
| % iptables-restore-translate -f /tmp/iptables.dump
| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018
| add table ip nat
| ...

(BZ#1564596)

Nuevas características añadidas a la VPN usando NetworkManager

En Red Hat Enterprise Linux 8.0, NetworkManager proporciona las siguientes características nuevas a VPN:

  • Soporte para el protocolo Internet Key Exchange versión 2 (IKEv2).
  • Añadidas algunas opciones más de Libreswan, como las rightidfragmentationopciones leftcert, narrowing, , , rekey,. Para más detalles sobre las opciones soportadas, consulte la página nm-settings-libreswanman.
  • Actualizado las cifras por defecto. Esto significa que cuando el usuario no especifica las cifras, el plugin NetworkManager-libreswan permite a la aplicación Libreswan elegir el cifrado por defecto del sistema. La única excepción es cuando el usuario selecciona una configuración de modo agresivo de IKEv1. En este caso, los eps = aes256-sha1valores ike = aes256-sha1;modp1536y se pasan a Libreswan.

(BZ#1557035)

Un nuevo tipo de trozo de datos, I-DATA, añadido a SCTP

Esta actualización añade un nuevo tipo de chunk de datos, I-DATA, y programadores de streams al Protocolo de Transmisión de Control de Stream (SCTP). Anteriormente, SCTP enviaba los mensajes de los usuarios en el mismo orden en que fueron enviados por un usuario. En consecuencia, un mensaje de usuario SCTP de gran tamaño bloqueó todos los demás mensajes de cualquier secuencia hasta que se enviaron por completo. Cuando se utilizan I-DATAtrozos, el campo Número de secuencia de transmisión (TSN) no se sobrecarga. Como resultado, SCTP ahora puede programar las transmisiones de diferentes maneras, y I-DATApermite el entrelazado de mensajes de usuario (RFC 8260). Tenga en cuenta que ambos pares deben apoyar el tipo de I-DATAtrozo.

(BZ#1273139)