Red Hat Enterprise Linux 8 では、従来のネットワークスクリプトが非推奨となっており、デフォルトでは提供されません。基本インストールでは、nmcli ツールを介して NetworkManager を呼び出す ifup スクリプトおよび ifdown スクリプトの新しいバージョンが提供されます。Red Hat Enterprise Linux 8 で ifup スクリプトおよび ifdown スクリプトを実行するには、NetworkManager が起動している必要があります。

~]# yum install network-scripts

Red Hat Enterprise Linux 8 では、NetworkManager で、SR-IOV (Single Root I/O virtualization) をサポートするインターフェースに仮想ファンクション (VF) の数を設定できます。また、NetworkManager では、MAC アドレス、VLAN、spoof checking 設定、許可されるビットレートなど、VF の属性の一部を設定できます。SR-IOV に関連するすべてのプロパティーは、sriov 接続設定で利用できます。詳細は、man ページの nm-settings(5) を参照してください。

以前は、インターフェース名の完全一致のみを使用して、特定のインターフェースへの接続を制限していました。今回の更新で、接続には、ワイルドカードに対応する新しい match.interface-name プロパティーが含まれるようになり、ワイルドカードパターンを使用した柔軟な方法で、接続用インターフェースを選択できるようになりました。

この機能強化により、NetworkManager は、ethtool オフロード機能の設定をサポートするため、init スクリプトまたは NetworkManager ディスパッチャースクリプトを使用しなくなりました。その結果、以下のいずれかのメソッドを使用して、接続プロファイルの一部としてオフロード機能を設定できるようになりました。

この機能は、現在、グラフィカルインターフェースと nmtui ユーティリティーではサポートされていないことに注意してください。

nftables フレームワークは、パケットの分離機能を提供し、iptables ツール、ip6tables ツール、arptables ツール、および ebtables ツールの後継となります。利便性、機能、パフォーマンスにおいて、以前のパケットフィルタリングツールに多くの改良が追加されました。以下に例を示します。

iptables と同様、nftables は、チェーンを保存するテーブルを使用します。このチェーンには、アクションを実行する個々のルールが含まれます。nft ツールは、以前のパケットフィルタリングフレームワークのツールをすべて置き換えます。libnftables ライブラリーは、libmnl ライブラリーの nftables Netlink API で、低レベルの対話のために使用できます。

iptables ツール、ip6tables ツール、ebtables ツール、および arptables ツールは、nftables ベースの同じ名前のドロップインツールに置き換えられました。外部の挙動は従来のものと同じですが、内部的には必要に応じて互換インターフェースを通して、従来の netfilter カーネルモジュールを使用した nftables を使用します。

nftables ルールセットに対するモジュールの効果は、nft list ruleset コマンドを使用して確認できます。これらのツールは、テーブル、チェーン、およびルールを nftables ルールセットに追加するため、nft flush ruleset などの nftables ルールセット操作は、先に別々のコマンドを使用してインストールしたルールセットに影響を及ぼす可能性があることに注意してください。

どの種類のツールが存在するかをすばやく識別するために、バックエンド名を追加するようにバージョン情報が更新されました。RHEL 8 では、nftables ベースの iptables ツールで、次のバージョン文字列が出力されます。

$ iptables --version
iptables v1.8.0 (nf_tables)

一方、従来の iptables ツールが存在する場合は、次のバージョン情報が出力されます。

$ iptables --version
iptables v1.8.0 (legacy)

arptables FORWARD チェーン機能は、Red Hat Enterprise Linux (RHEL) 8 で削除されました。 ebtables の FORWARD チェーンを使用して、それにルールを追加します。

RHEL 8 では、ebtables コマンドは、 iptables-ebtables パッケージが提供します。これには、ツールの nftables ベースの再実装が含まれます。このツールには別のコードベースがあり、その出力は、側面が異なる場合があるため、無視できるか、設計上の選択を慎重に検討する必要があります。

その結果、ebtables 出力を解析するスクリプトを移行する際に、以下を反映するスクリプトを調整します。

今回の更新で、既存の iptables ルールまたは ip6tables ルールを、nftables で同等のルールに変換する iptables-translate ツールおよび ip6tables-translate ツールが追加されました。拡張機能によっては対応する機能がない場合もあります。対応する機能がない拡張機能が存在する場合は、ツールにより、その前に # 記号が付いた未変換ルールが出力されます。以下に例を示します。

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill
| nft # -A INPUT -j CHECKSUM --checksum-fill

さらに、ユーザーは、iptables-restore-translate ツールおよび ip6tables-restore-translate ツールを使用して、ルールのダンプを変換できます。その前に、iptables-save コマンドまたは ip6tables-save コマンドを使用して、たとえば、現在のルールのダンプを出力できます。

| % sudo iptables-save >/tmp/iptables.dump
| % iptables-restore-translate -f /tmp/iptables.dump
| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018
| add table ip nat
| ...

Red Hat Enterprise Linux (RHEL) 8 の wpa_supplicant パッケージは、CONFIG_DEBUG_SYSLOG が有効になった状態で構築されています。これにより、/var/log/wpa_supplicant.log ファイルの内容を確認する代わりに、journalctl ユーティリティーを使用して wpa_supplicant ログを読み取ることができます。

wpa_supplicant パッケージでは、ワイヤレス拡張がサポートされません。 コマンドラインの引数として wext を使用する場合、またはワイヤレス拡張だけをサポートする古いアダプターのみを使用する場合は、wpa_supplicant デーモンを実行できません。

Red Hat Enterprise Linux (RHEL) 8 で、新しい TCP 輻輳制御アルゴリズム、ボトルネック帯域幅、およびラウンドトリップ時間 (BBR) がサポートされるようになりました。BBR は、ボトルネックリンクおよびラウンドトリップ時間 (RTT) の帯域幅を決定します。ほとんどの輻輳アルゴリズムは、パケットロス (デフォルトの Linux TCP 輻輳制御アルゴリズムである CUBIC を含む) に基づいており、高スループットのリンク上の問題をかかえています。BBR は、損失イベントに直接反応せず、利用可能な帯域幅をそれと合わせて、TCP ペーシングレートを調整します。TCP BBR のユーザーは、関係するすべてのインターフェースの fq キュー設定に切り替える必要があります。

ユーザーが明示的に fq を使用し、fq_codel は使用しないことに注意してください。

詳細は、man ページの tc-fq を参照してください。