Red Hat Training

A Red Hat training course is available for RHEL 8

4.13. Mise en réseau (traduction automatique)

nftables remplace iptablespar défaut le cadre de filtrage de paquets réseau

Le nftablescadre fournit des fonctions de classification des paquets et il est le successeur désigné des outils et des ebtablesoutilsiptablesip6tables.arptables Il offre de nombreuses améliorations en termes de commodité, de fonctionnalités et de performances par rapport aux outils de filtrage de paquets précédents, notamment :

  • tables de consultation au lieu d'un traitement linéaire
  • un cadre unique à la fois pour le protocole IPv4et les IPv6protocoles
  • toutes les règles sont appliquées de manière atomique au lieu d'extraire, de mettre à jour et de stocker un jeu de règles complet
  • support du débogage et du traçage dans le jeu de règles (nftrace) et de la surveillance des événements de traçage (dans l'nftoutil)
  • syntaxe plus cohérente et compacte, pas d'extensions spécifiques au protocole
  • une API Netlink pour les applications tierces

Comme pour iptablesles tables d'nftablesutilisation pour le stockage des chaînes. Les chaînes contiennent des règles individuelles pour l'exécution des actions. L'nftoutil remplace tous les outils des frameworks de filtrage de paquets précédents. La libnftablesbibliothèque peut être utilisée pour une interaction de bas niveau avec l'API nftablesNetlink sur la libmnlbibliothèque.

Les iptablesarptablesoutils ip6tables,, ebtableset, sont remplacés par des outils de remplacement de type"drop-in" basés sur nftables et portant le même nom. Bien que le comportement externe soit identique à celui de leurs homologues existants, ils l'utilisent nftablesen interne avec les modules du netfilternoyau existants via une interface de compatibilité si nécessaire.

L'effet des modules sur le nftablesjeu de règles peut être observé en utilisant la nft list rulesetcommande. Comme ces outils ajoutent des tables, des chaînes et des règles au jeu nftablesde règles, sachez que les opérations de nftablesjeu de règles, telles que la nft flush rulesetcommande, peuvent affecter les jeux de règles installés à l'aide des commandes héritées auparavant séparées.

Pour identifier rapidement quelle variante de l'outil est présente, les informations de version ont été mises à jour pour inclure le nom du back-end. Dans RHEL 8, l'outil basé sur iptablesnftables imprime la chaîne de version suivante : 

$ iptables --version
iptables v1.8.0 (nf_tables)

Pour comparaison, les informations de version suivantes sont imprimées si l'iptablesoutil existant est présent : 

$ iptables --version
iptables v1.8.0 (legacy)

(BZ#1644030)

Fonctions TCP notables dans RHEL 8

Red Hat Enterprise Linux 8 est distribué avec la pile réseau TCP version 4.16, qui offre de meilleures performances, une meilleure évolutivité et plus de stabilité. Les performances sont améliorées, en particulier pour les serveurs TCP occupés avec un taux d'entrée de connexion élevé.

De plus, deux nouveaux algorithmes de congestion TCP, BBRetNV, sont disponibles, offrant une latence plus faible et un meilleur débit que le cubique dans la plupart des scénarios.

(BZ#1562998)

firewalld utilise nftablespar défaut

Avec cette mise à jour, le sous-système de nftablesfiltrage est le pare-feu par défaut pour le firewallddémon. Pour modifier le backend, utilisez l'FirewallBackendoption dans le /etc/firewalld.conffichier.

Ce changement introduit les différences de comportement suivantes lors de l'utilisation nftablesde :

  1. iptables les exécutions de règles ont toujours lieu avant firewalldles règles

    • DROP in iptablessignifie qu'un paquet n'est jamais vu par firewalld
    • ACCEPT in iptablessignifie qu'un paquet est toujours soumis à des firewalldrègles
  2. firewalld les règles directes sont toujours implémentées alors iptablesque d'autres firewalldfonctionnalités utilisent nftables
  3. l'exécution directe de la règle a lieu avant l'acceptation firewalldgénérique des connexions établies

(BZ#1509026)

Changement notable dans wpa_supplicantRHEL 8

Dans Red Hat Enterprise Linux (RHEL) 8, le wpa_supplicantpaquet est construit avec CONFIG_DEBUG_SYSLOGactivé. Cela permet de lire le wpa_supplicantjournal à l'aide de l'journalctlutilitaire au lieu de vérifier le contenu du /var/log/wpa_supplicant.logfichier.

(BZ#1582538)

NetworkManager supporte maintenant les fonctions virtuelles SR-IOV

Dans Red Hat Enterprise Linux 8.0, NetworkManager permet de configurer le nombre de fonctions virtuelles (VF) pour les interfaces qui prennent en charge la virtualisation des E/S mono-root (SR-IOV). En outre, NetworkManager permet de configurer certains attributs des VF, tels que l'adresse MAC, le VLAN, le spoof checkingréglage et les débits binaires autorisés. Notez que toutes les propriétés relatives au SR-IOV sont disponibles dans le paramètre de sriovconnexion. Pour plus de détails, voir la page de nm-settings(5)manuel.

(BZ#1555013)

Les pilotes réseau virtuels IPVLAN sont désormais pris en charge

Dans Red Hat Enterprise Linux 8.0, le noyau prend en charge les pilotes réseau virtuels IPVLAN. Avec cette mise à jour, les cartes d'interface réseau virtuelles IPVLAN (NIC) permettent la connectivité réseau pour plusieurs conteneurs exposant une seule adresse MAC au réseau local. Cela permet à un seul hôte d'avoir un grand nombre de conteneurs surmontant la limitation possible du nombre d'adresses MAC prises en charge par l'équipement de réseautage pair.

(BZ#1261167)

NetworkManager prend en charge une correspondance de nom d'interface wildcard pour les connexions

Auparavant, il était possible de restreindre une connexion à une interface donnée en utilisant seulement une correspondance exacte sur le nom de l'interface. Avec cette mise à jour, les connexions ont une nouvelle match.interface-namepropriété qui supporte les caractères génériques. Cette mise à jour permet aux utilisateurs de choisir l'interface d'une connexion de manière plus flexible en utilisant un motif de caractères génériques.

(BZ#1555012)

Améliorations dans la pile réseau 4.18

Red Hat Enterprise Linux 8.0 inclut la pile réseau mise à niveau vers la version amont 4.18, qui fournit plusieurs correctifs et améliorations. Parmi les changements notables, mentionnons :

  • Introduction de nouvelles fonctions de déchargement, telles queUDP_GSO, et, pour certains pilotes de périphériques, GRO_HW.
  • Amélioration significative de l'évolutivité du protocole UDP (User Datagram Protocol).
  • Amélioration du code d'appel occupé générique.
  • Évolutivité améliorée pour le protocole IPv6.
  • Amélioration de l'évolutivité du code de routage.
  • Ajout d'un nouvel algorithme de planification de file d'attente d'émission par défaut,fq_codelqui améliore le délai de transmission.
  • Amélioration de l'évolutivité de certains algorithmes de planification des files d'attente d'émission. Par exemple, pfifo_fastest maintenant sans verrou.

(BZ#1562987)

Nouveaux outils à convertir iptablesen nftables

Cette mise à jour ajoute les outils iptables-translateet ip6tables-translatepour convertir les ip6tablesrègles existantes iptablesou les règles en règles équivalentes pour nftables. Notez que certaines extensions ne prennent pas en charge la traduction. Si une telle extension existe, l'outil imprime la règle non traduite préfixée par le #signe. Par exemple : 

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill
| nft # -A INPUT -j CHECKSUM --checksum-fill

De plus, les utilisateurs peuvent utiliser les outils iptables-restore-translateet ip6tables-restore-translatepour traduire un dump de règles. Notez qu'avant cela, les utilisateurs peuvent utiliser les commandes iptables-saveou ip6tables-savepour imprimer un dump des règles en cours. Par exemple : 

| % sudo iptables-save >/tmp/iptables.dump
| % iptables-restore-translate -f /tmp/iptables.dump
| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018
| add table ip nat
| ...

(BZ#1564596)

Nouvelles fonctionnalités ajoutées au VPN à l'aide de NetworkManager

Dans Red Hat Enterprise Linux 8.0, NetworkManager offre les nouvelles fonctionnalités suivantes au VPN :

  • Prise en charge du protocole Internet Key Exchange version 2 (IKEv2).
  • Ajouté quelques options Libreswan supplémentaires, telles que les rightidfragmentationoptions leftcert,narrowing,,,rekey, etc. Pour plus de détails sur les options prises en charge, voir la page de nm-settings-libreswanmanuel.
  • Mise à jour des chiffres par défaut. Cela signifie que lorsque l'utilisateur ne spécifie pas les chiffres, le plugin NetworkManager-libreswan permet à l'application Libreswan de choisir le chiffre par défaut du système. La seule exception est lorsque l'utilisateur sélectionne une configuration en mode agressif IKEv1. Dans ce cas, les valeurs ike = aes256-sha1;modp1536et eps = aes256-sha1sont transmises à Libreswan.

(BZ#1557035)

Un nouveau type de bloc de données, I-DATA ajouté au SCTP

Cette mise à jour ajoute un nouveau type de bloc de données et des programmateurs de flux au protocole SCTP (Stream Control Transmission Protocol)I-DATA. Auparavant, le SCTP envoyait les messages des utilisateurs dans le même ordre que celui dans lequel ils étaient envoyés par un utilisateur. Par conséquent, un gros message utilisateur SCTP bloquait tous les autres messages dans n'importe quel flux jusqu'à leur envoi complet. Lors de l'utilisation de I-DATAmorceaux, la zone Numéro de séquence de transmission (TSN) n'est pas surchargée. Par conséquent, SCTP peut maintenant programmer les flux de différentes manières et I-DATApermet l'entrelacement des messages utilisateur (RFC 8260). Notez que les deux pairs doivent supporter le type de I-DATAmorceau.

(BZ#1273139)