4.9. ネットワーキング

RP Z-drop が、到達不能なドメインの反復解決を BIND が回避するようになりました。

RHEL 7.7 で配布される Berkeley Internet Name Domain(BIND)バージョンでは、rpz-drop ポリシーが導入され、DNS の増幅攻撃を軽減することができます。以前のバージョンでは、攻撃者が解決可能なドメインの多くのクエリーを生成する場合、BIND はこのようなクエリーの解決を継続的に試行し、CPU へのかなり負荷が発生していました。rpz-drop では、BIND はターゲットドメインに到達できない場合にクエリーを処理しません。この動作は、CPU の容量を大幅に保存します。

(BZ#1325789)

バージョン 9.11 に バインド

bind パッケージがアップストリームバージョン 9.11 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。

新機能:

  • セカンダリーサーバー Catalog Zones をプロビジョニングする新しい方法が追加されました。
  • Domain Name System Cookies は、named サービスおよび dig ユーティリティーにより送信できるようになりました。
  • Response Rate Limiting 機能は、DNS 増幅攻撃の軽減を支援できます。
  • RPZ の (response-policy zone) のパフォーマンスが改善しました。
  • map と呼ばれる新しいゾーンファイルが追加されています。このフォーマットに保存されるゾーンファイルは、メモリーに直接マッピングされます。これにより、ゾーンが読み込む速度が大幅に改善します。
  • DNS クエリーの送信および結果 の検証を行うための、dlv (ドメインエンティティー検索および検証)と呼ばれる新しいツールが追加されました。このツールは、名前付き デーモンと同じ内部リゾルバーおよびバリデーターロジックを使用します。
  • 新しい mdig コマンドが利用できるようになりました。このコマンドは、1 つのクエリーを送信して応答を待つ代わりに、パイプラインで複数のクエリーを送信し、応答を待つ dig コマンドです。
  • 再帰リゾルバーのパフォーマンスを改善する新しい prefetch オプションが追加されました。
  • ビュー間でゾーンデータを共有できる、新しい in-view ゾーンオプションが追加されました。このオプションが追加されると、新しいビューは、メモリーに複数のコピーを保存せずに、同じゾーンを確実に保存できます。
  • ゾーンに最大の TTL を強制する新しい max-zone-ttl オプションが追加されました。高い TTL を含むゾーンを読み込むと、読み込みに失敗します。動的 DNS (DDNS) により高い TTL を設定することは可能ですが、TTL は切り捨てられます。
  • 新しいクォータは、再帰リゾルバーが、サービス拒否攻撃が発生している権威サーバーに送信するクエリーを制限するために追加されました。
  • nslookup ユーティリティーは、デフォルトで IPv6 アドレスと IPv4 アドレスの両方を検索するようになりました。
  • named サービスは、起動する前に、その他のネームサーバープロセスが実行しているかどうかを確認します。
  • 署名付きゾーンを読み込むと、named が、Resource Record Signature (RSIG) の開始時間が将来時にあるかどうかを確認し、存在する場合はすぐに RRSIG を再生成するようになりました。
  • ゾーン転送は、ネットワーク使用量を低減するメッセージ圧縮を改善するために、より小さいサイズのメッセージを使用するようになりました。

機能変更:

  • 静的チャンネルに対するバージョン 3 の XML スキーマでは、高速解析を行うために、HTTP インターフェースにより、新しい統計および平坦化した XML ツリーが提供されます。古いバージョンの 2 XML スキーマは、デフォルトの形式です。

(BZ#1640561, BZ#1578128)

ipset がバージョン 7.1 にリベースされました。

ipset パッケージがアップストリームバージョン 7.1 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。

  • ipset プロトコルのバージョン 7 では、IPSET_CMD_GET_BYNAME および IPSET_CMD_GET_BYINDEX オペレーションが導入されました。また、ユーザー空間コンポーネントは、カーネルコンポーネントに対応する正確な互換性レベルを検出できるようになりました。
  • メモリーリークや user-after-free バグなど、非常に多くのバグが修正されました。

(BZ#1649080)

NetworkManager がブリッジインターフェースで VLAN フィルタリングに対応

今回の機能強化により、管理者は対応する NetworkManager 接続プロファイルのブリッジインターフェースで仮想 LAN(VLAN)フィルタリングを設定できるようになりました。これにより、管理者はブリッジポートに直接 VLAN を定義できます。

(BZ#1652910)

NetworkManager でポリシールーティングルールの設定に対応

以前は、NetworkManager-dispatcher-routing-rules パッケージが提供する dispatcher スクリプトを使用して、NetworkManager 外にポリシールーティングルールを設定する必要があります。今回の更新で、ユーザーは接続プロファイルの一部としてルールを設定できるようになりました。これにより、NetworkManager は、プロファイルがアクティブになるとルールを追加し、プロファイルが非アクティブになるとルールを削除します。

(BZ#1652653)