5.6. ネットワーク

ユーザー空間のアプリケーションが、カーネルで選択した netns ID を取得できるようになりました。

ユーザー空間のアプリケーションは、カーネルに新しい netns ID を選択するよう要求し、これをネットワーク名前空間に割り当てることができます。今回の機能強化により、ユーザーはカーネルに RTM_NETNSID netlink メッセージを送信するときに、NLM_F_ECHO フラグを指定できるようになりました。これで、カーネルが netlink メッセージをユーザーに送り戻します。このメッセージには、カーネルが選択した値に設定された netns ID が含まれています。その結果、ユーザー空間アプリケーションには、カーネルが選択した netlink ID を識別するための信頼できるオプションが追加されました。

(BZ#1763661)

firewalld がバージョン 0.8 にリベースされました。

firewalld パッケージが、バージョン 0.8 に更新されました。以下は、主な変更点です。

  • この firewalld のバージョンには、バージョン 0.7.0 以降のすべてのバグ修正が含まれます。
  • firewalldnftables サブシステムへの libnftables JSON インターフェースを使用するようになりました。これにより、ルールアプリケーションのパフォーマンスおよび信頼性が向上します。
  • サービス定義では、新しい helper 要素が module を置き換えます。
  • このバージョンでは、カスタムヘルパーが標準のヘルパーモジュールを使用できます。

(BZ#1740670)

ndptool が IPv6 ヘッダーで宛先アドレスを指定できるようになりました。

今回の更新で、ndptool ユーティリティーが、IPv6 ヘッダーでアドレスを指定することで、特定の宛先に Neighbor Solicitation (NS) または Neighbor Advertisement (NA) メッセージを送信できるようになりました。その結果、メッセージをリンクローカルアドレス以外のアドレスに送信できます。

(BZ#1697595)

nftables が、多次元 IP セットタイプをサポートするようになりました。

今回の機能強化により、nftables パケットフィルタリングフレームワークが、連結と区間を持つセットタイプをサポートするようになりました。その結果、管理者は、多次元 IP セットタイプを作成するための回避策が不要になりました。

(BZ#1593711)

nftables がバージョン 0.9.3 にリベースされました

nftables パッケージがアップストリームバージョン 0.9.3 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。

  • JSON API が libnftables ライブラリーに追加されました。このライブラリーは、サードパーティーアプリケーションから nftables ルールセットを管理する高度なインターフェースを提供します。Python で新しい API を使用するには、python3-nftables パッケージをインストールします。
  • ステートメントは、192.0.2.0/24 および 192.0.2.0-192.0.2.30 などの IP 接頭辞および範囲をサポートします。
  • オペレーティングシステムのフィンガープリントのサポートが追加され、予想されるオペレーティングシステムに基づいてパケットをマークできるようになりました。詳細は、nft(8) man ページの osf expression セクションを参照してください。
  • パケットヘッダーを変更せずにパケットをローカルソケットにリダイレクトするように、透過型プロキシー機能が追加されました。詳細は、nft(8) man ページの tproxy statement セクションを参照してください。
  • デフォルトでは、nft は nft チェーンの作成中に優先度セットのテキスト名を表示します。標準優先度の数値を表示するには、-y オプションを使用します。詳細は、標準優先度の値およびテキスト名の項を 参照してください。
  • セキュリティーマークのサポートが追加されました。
  • 動的セット更新のサポートが改善され、パケットパスから更新を設定するようになりました。
  • トランスポートヘッダーポートマッチのサポートが追加されました。

主な変更の詳細は、更新前にアップストリームのリリースノートを参照してください。

(BZ#1643192)

firewalld サービスに対するルールが、標準ポート以外で動作するサービスについて接続追跡ヘルパーを使用できるようになりました。

firewalld サービス内のユーザー定義ヘルパーが、標準のカーネルヘルパーモジュールを使用できるようになりました。これにより、管理者は、非標準ポートで動作するサービスについて接続追跡ヘルパーを使用する firewalld ルールを作成することができます。

(BZ#1733066)

whois パッケージが利用できるようになりました。

今回の機能強化により、RHEL 8.2.0 で whois パッケージが利用できるようになりました。その結果、特定のドメイン名または IP アドレスについての情報を取得できるようになりました。

(BZ#1734183)

tc の eBPF が完全にサポートされました。

Traffic Control (tc) カーネルサブシステムと tc ツールは、extended Berkeley Packet Filtering (eBPF) プログラムをパケットとして追加し、入力および出力の両方のキューイング規則に対するアクションを実行することができます。これにより、カーネルネットワークデータパス内でプログラム可能なパケット処理が可能になりました。以前はテクノロジープレビューとして利用できた tc 用の eBPF は、RHEL 8.2 で完全に対応になりました。

(BZ#1755347)


このページには機械翻訳が使用されている場合があります (詳細はこちら)。