4.13. La rete (traduzione automatica)

nftables sostituisce iptablescome predefinito il framework di rete per il filtraggio dei pacchetti di rete

Il nftablesframework fornisce strutture di classificazione dei pacchetti ed è il successore designato per il iptables, ip6tables, , , , arptables, e ebtablesstrumenti. Offre numerosi miglioramenti in termini di praticità, funzionalità e prestazioni rispetto ai precedenti strumenti di filtraggio dei pacchetti, in particolare:

  • tabelle di ricerca al posto dell'elaborazione lineare
  • un quadro unico sia per i IPv6protocolli IPv4che per i protocolli
  • regole tutte applicate atomicamente invece di recuperare, aggiornare e memorizzare un insieme di regole completo
  • supporto per il debug e il tracciamento nelle regole (nftrace) e il monitoraggio degli eventi traccia (nello nftstrumento)
  • sintassi più coerente e compatta, nessuna estensione specifica del protocollo
  • un'API Netlink per applicazioni di terze parti

Analogamente a iptables, nftablesutilizzare i tavoli per riporre le catene. Le catene contengono regole individuali per l'esecuzione delle azioni. Lo nftstrumento sostituisce tutti gli strumenti dei precedenti framework di filtraggio dei pacchetti. La libnftableslibreria può essere utilizzata per interazioni di basso livello con le API nftablesNetlink attraverso la libmnllibreria.

Gli arptablesstrumenti iptables, ip6tables, , ebtablese , sono sostituiti da sostituzioni drop-in basate su nftables con lo stesso nome. Mentre il comportamento esterno è identico a quello delle loro controparti legacy, internamente usano nftablescon i moduli del kernel legacy netfilterattraverso un'interfaccia di compatibilità dove richiesto.

L'effetto dei moduli sulle nftablesregole può essere osservato utilizzando il nft list rulesetcomando. Dal momento che questi strumenti aggiungono tabelle, catene e regole al nftablesset di regole, si tenga presente che le operazioni di nftablesset di regole, come il nft flush rulesetcomando, potrebbero influenzare i set di regole installati utilizzando i comandi legacy precedentemente separati.

Per identificare rapidamente quale variante dello strumento è presente, le informazioni sulla versione sono state aggiornate per includere il nome del back-end. In RHEL 8, lo strumento basato su nftables iptablesstampa la seguente stringa di versione:

$ iptables --version
iptables v1.8.0 (nf_tables)

Per un confronto, vengono stampate le seguenti informazioni sulla versione se è presente uno strumento legacyiptables:

$ iptables --version
iptables v1.8.0 (legacy)

(BZ#1644030)

Notevoli caratteristiche TCP in RHEL 8

Red Hat Enterprise Linux 8 è distribuito con lo stack di rete TCP versione 4.16, che fornisce prestazioni più elevate, migliore scalabilità e maggiore stabilità. Le prestazioni sono potenziate soprattutto per i server TCP occupati con un elevato tasso di connessione in ingresso.

Inoltre, sono disponibili due nuovi algoritmi di congestione TCP BBRe NV, che offrono una latenza inferiore e un throughput migliore del cubico nella maggior parte degli scenari.

(BZ#1562998)

firewalld utilizza nftablesper impostazione predefinita

Con questo aggiornamento, il sottosistema di nftablesfiltraggio è il backend firewall predefinito per il firewallddemone. Per modificare il backend, utilizzare l'FirewallBackendopzione nel /etc/firewalld.conffile.

Questa modifica introduce le seguenti differenze di comportamento nell'uso di nftables:

  1. iptables l'esecuzione delle regole avviene sempre prima firewallddelle regole

    • DROP in iptablesmezzi che un pacchetto non è mai visto da firewalld
    • ACCEPT in iptablessignifica che un pacchetto è ancora soggetto a delle firewalldregole
  2. firewalld sono ancora implementate attraverso regole dirette, iptablesmentre le altre firewalldfunzioni utilizzano nftables
  3. l'esecuzione diretta delle regole avviene prima dell'accettazione firewalldgenerica delle connessioni stabilite

(BZ#1509026)

Notevole variazione wpa_supplicantin RHEL 8

In Red Hat Enterprise Linux (RHEL) 8, il wpa_supplicantpacchetto è costruito con CONFIG_DEBUG_SYSLOGabilitato. Questo permette di leggere il wpa_supplicantlog usando l'journalctlutilità invece di controllare il contenuto del /var/log/wpa_supplicant.logfile.

(BZ#1582538)

NetworkManager supporta ora le funzioni virtuali di SR-IOV

In Red Hat Enterprise Linux 8.0, NetworkManager consente di configurare il numero di funzioni virtuali (VF) per interfacce che supportano la virtualizzazione I/O a radice singola (SR-IOV). Inoltre, NetworkManager permette di configurare alcuni attributi delle VF, come l'indirizzo MAC, la VLAN, l'spoof checkingimpostazione e i bitrate consentiti. Si noti che tutte le proprietà relative a SR-IOV sono disponibili nelle impostazioni di sriovconnessione. Per maggiori dettagli, vedere la pagina dell'nm-settings(5)uomo.

(BZ#1555013)

I driver di rete virtuale IPVLAN sono ora supportati

In Red Hat Enterprise Linux 8.0, il kernel include il supporto per i driver di rete virtuale IPVLAN. Con questo aggiornamento, le schede di interfaccia di rete virtuale IPVLAN (NIC) consentono la connettività di rete per contenitori multipli che espongono un singolo indirizzo MAC alla rete locale. Questo permette ad un singolo host di avere molti container che superano la possibile limitazione del numero di indirizzi MAC supportati dalle apparecchiature di rete peer.

(BZ#1261167)

NetworkManager supporta una corrispondenza del nome dell'interfaccia wildcard per le connessioni

In precedenza, era possibile limitare una connessione ad una data interfaccia utilizzando solo una corrispondenza esatta sul nome dell'interfaccia. Con questo aggiornamento, le connessioni hanno una nuova match.interface-nameproprietà che supporta le wildcard. Questo aggiornamento consente agli utenti di scegliere l'interfaccia per una connessione in modo più flessibile utilizzando un modello wildcard.

(BZ#1555012)

Miglioramenti nello stack di rete 4.18

Red Hat Enterprise Linux 8.0 include lo stack di rete aggiornato alla versione upstream 4.18, che fornisce diverse correzioni e miglioramenti. Notevoli cambiamenti includono:

  • Introdotte nuove funzioni di scarico, come UDP_GSO, e, per alcuni driver di periferica, GRO_HW.
  • Migliorata la scalabilità significativa per il protocollo UDP (User Datagram Protocol).
  • Migliorato il codice generico per i sondaggi di occupato.
  • Scalabilità migliorata per il protocollo IPv6.
  • Migliore scalabilità del codice di routing.
  • Aggiunto un nuovo algoritmo predefinito di programmazione della coda di trasmissione,fq_codelche migliora il ritardo di trasmissione.
  • Migliore scalabilità per alcuni algoritmi di programmazione delle code di trasmissione. Per esempio, ora pfifo_fastè senza serratura.

(BZ#1562987)

Nuovi strumenti per convertire iptablesin nftables

Questo aggiornamento aggiunge gli iptables-translateip6tables-translatestrumenti per convertire le regole esistenti iptableso ip6tablesle regole in quelle equivalenti per nftables. Si noti che alcune estensioni non supportano la traduzione. Se tale estensione esiste, lo strumento stampa la regola non tradotta preceduta dal #segno. Per esempio:

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill
| nft # -A INPUT -j CHECKSUM --checksum-fill

Inoltre, gli utenti possono utilizzare gli strumenti iptables-restore-translatee ip6tables-restore-translateper tradurre un gran numero di regole. Si noti che prima di questo, gli utenti possono utilizzare i comandi iptables-saveo ip6tables-saveper stampare un dump delle regole correnti. Per esempio:

| % sudo iptables-save >/tmp/iptables.dump
| % iptables-restore-translate -f /tmp/iptables.dump
| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018
| add table ip nat
| ...

(BZ#1564596)

Nuove funzionalità aggiunte alla VPN utilizzando NetworkManager

In Red Hat Enterprise Linux 8.0, NetworkManager fornisce le seguenti nuove funzionalità per la VPN:

  • Supporto per il protocollo Internet Key Exchange versione 2 (IKEv2).
  • Aggiunte alcune altre opzioni di Libreswan, come le fragmentationopzioni rightid, leftcert, , , narrowing, , , rekey, . Per maggiori dettagli sulle opzioni supportate, vedere la pagina nm-settings-libreswanman.
  • Aggiornati i codici predefiniti. Questo significa che quando l'utente non specifica i cifratori, il plugin NetworkManager-libreswan permette all'applicazione Libreswan di scegliere il cifrario predefinito del sistema. L'unica eccezione è quando l'utente seleziona una configurazione in modalità aggressiva IKEv1. In questo caso, i valori ike = aes256-sha1;modp1536e eps = aes256-sha1sono passati al Libreswan.

(BZ#1557035)

Un nuovo tipo di dati chunk, I-DATA, aggiunto a SCTP

Questo aggiornamento aggiunge un nuovo tipo di data chunk, I-DATA, e programmatori di flusso al Stream Control Transmission Protocol (SCTP). In precedenza, SCTP inviava messaggi utente nello stesso ordine in cui erano stati inviati da un utente. Di conseguenza, un messaggio utente SCTP di grandi dimensioni ha bloccato tutti gli altri messaggi in qualsiasi flusso fino al completo invio. Quando si usano i I-DATApezzi, il campo Numero di sequenza di trasmissione (TSN) non è sovraccarico. Come risultato, SCTP ora può pianificare i flussi in diversi modi e I-DATAconsente l'interscambio di messaggi utente (RFC 8260). Si noti che entrambi i coetanei devono supportare il tipo di I-DATAchunk.

(BZ#1273139)