6.4.4. Trabalho em rede

O kernel agora suporta endereços MAC de destino em bitmap:ipmac, hash:ipmac, e hash:mac IP set types

Anteriormente, a implementação do kernel do bitmap:ipmac, hash:ipmac, e hash:mac IP set types só permitia a correspondência no endereço MAC de origem, enquanto os endereços MAC de destino podiam ser especificados, mas não eram comparados com as entradas do set. Como conseqüência, os administradores podiam criar regras iptables que usavam um endereço MAC de destino em um desses tipos de conjunto IP, mas os pacotes que correspondiam à especificação dada não eram realmente classificados. Com esta atualização, o kernel compara o endereço MAC de destino e retorna uma correspondência se a classificação especificada corresponder ao endereço MAC de destino de um pacote. Como resultado, as regras que correspondem aos pacotes contra o endereço MAC de destino agora funcionam corretamente.

A aplicação gnome-control-center agora suporta a edição de configurações IPsec avançadas

Anteriormente, a aplicação gnome-control-center mostrava apenas as opções avançadas de conexões IPsec VPN. Conseqüentemente, os usuários não podiam alterar essas configurações. Com esta atualização, os campos nas configurações avançadas agora são editáveis, e os usuários podem salvar as mudanças.

O alvo TRACE na página de manual do iptables-extensions(8 ) foi atualizado

Anteriormente, a descrição do alvo TRACE na página man do iptables-extensions(8 ) se referia apenas à variante compatriota, mas o Red Hat Enterprise Linux 8 usa a variante nf_tables. Como conseqüência, a página de manual não fazia referência ao utilitário de linha de comando xtables-monitor para exibir os eventos TRACE. A página de manual foi atualizada e, como resultado, agora menciona o xtables-monitor.

O registro de erros no serviço ipset foi melhorado

Anteriormente, o serviço ipset não relatava erros de configuração com uma severidade significativa nos logs do sistema. O nível de severidade para entradas de configuração inválidas era apenas informativo, e o serviço não reportava erros para uma configuração inutilizável. Como conseqüência, era difícil para os administradores identificar e solucionar problemas na configuração do serviço ipset. Com esta atualização, o ipset relata problemas de configuração como avisos nos logs do sistema e, se o serviço não iniciar, ele registra uma entrada com a gravidade do erro, incluindo mais detalhes. Como resultado, agora é mais fácil solucionar problemas na configuração do serviço ipset.

O serviço ipset agora ignora as entradas de configuração inválidas durante a inicialização

O serviço ipset armazena configurações como conjuntos em arquivos separados. Anteriormente, quando o serviço começou, ele restaurou a configuração de todos os conjuntos em uma única operação, sem filtrar entradas inválidas que podem ser inseridas editando manualmente um conjunto. Como conseqüência, se uma única entrada de configuração era inválida, o serviço não restaurava outros conjuntos não relacionados. O problema foi resolvido. Como resultado, o serviço ipset detecta e remove as entradas de configuração inválidas durante a operação de restauração, e ignora as entradas de configuração inválidas.

O comando da lista ipset reporta memória consistente para tipos de conjuntos de hash

Quando você adiciona entradas a um tipo de conjunto de hash, o utilitário ipset deve redimensionar a representação in-memory para para novas entradas, alocando um bloco de memória adicional. Anteriormente, o ipset definia o tamanho total por conjunto alocado somente para o tamanho do novo bloco, ao invés de adicionar o valor ao tamanho atual da memória. Como conseqüência, o comando ip list relatou um tamanho de memória inconsistente. Com esta atualização, o ipset calcula corretamente o tamanho in-memory. Como resultado, o comando lista ipset agora exibe o tamanho correto da memória do conjunto, e a saída corresponde à memória real alocada para os tipos de conjunto de hash.

O kernel agora atualiza corretamente a PMTU ao receber a mensagem Pacote ICMPv6 Demasiado grande

Em certas situações, tais como para endereços de link-local, mais de uma rota pode corresponder a um endereço de origem. Anteriormente, o kernel não verificava a interface de entrada ao receber pacotes do Protocolo de Mensagens de Controle da Internet Versão 6 (ICMPv6). Portanto, a pesquisa da rota poderia retornar um destino que não correspondesse à interface de entrada. Conseqüentemente, ao receber uma mensagem muito grande do pacote ICMPv6, o kernel podia atualizar a Unidade de Transmissão Máxima do Caminho (PMTU) para uma interface de entrada diferente. Com esta atualização, o kernel verifica a interface de entrada durante a pesquisa da rota. Como resultado, o kernel agora atualiza o destino correto com base no endereço de origem e a PMTU funciona como esperado no cenário descrito.

Os arquivos /etc/hosts.allow e /etc/hosts.deny não contêm mais referências desatualizadas para remover tcp_wrappers

Anteriormente, os arquivos /etc/hosts.allow e /etc/hosts.deny continham informações desatualizadas sobre o pacote tcp_wrappers. Os arquivos são removidos no RHEL 8, pois não são mais necessários para o tcp_wrappers que é removido.