Red Hat Training

A Red Hat training course is available for RHEL 8

4.13. 联网 (机器翻译版本)

nftables 取代 iptables 作为默认的网络包过滤框架

nftables 框架提供了数据包分类工具,它是指定的继承者 iptables, ,ip6tables, ,arptables, ,和 ebtables 工具。与以前的数据包过滤工具相比,它在方便性,功能和性能方面提供了许多改进,最值得注意的是:

  • 查找表而不是线性处理
  • 两者的单一框架 IPv4IPv6 协议
  • 所有规则都以原子方式应用,而不是获取,更新和存储完整的规则集
  • 支持在规则集中进行调试和跟踪(nftrace并监控跟踪事件(在 nft 工具)
  • 更一致和紧凑的语法,没有特定于协议的扩展
  • 适用于第三方应用程序的Netlink API

与...类似 iptables, ,nftables 使用表来存储链。链包含执行操作的单独规则。该 nft 工具取代了以前的数据包过滤框架中的所有工具。该 libnftables 库可以用于低级别的交互 nftables Netlink API上 libmnl 图书馆。

iptables, ,ip6tables, ,ebtablesarptables 工具由具有相同名称的基于nftables的插入式替换替换。虽然外部行为与传统行为相同,但在内部使用 nftables 与遗产 netfilter 内核模块通过所需的兼容性接口。

模块对模块的影响 nftables 可以使用。来观察规则集 nft list ruleset 命令。由于这些工具将表,链和规则添加到 nftables 规则集,请注意 nftables 规则集操作,例如 nft flush ruleset 命令可能会影响使用以前单独的旧命令安装的规则集。

要快速识别工具的哪个变体,版本信息已更新为包含后端名称。在RHEL 8中,基于nftables iptables 工具打印以下版本字符串:

$ iptables --version
iptables v1.8.0 (nf_tables)

为了进行比较,如果是旧版,则打印以下版本信息 iptables 工具存在:

$ iptables --version
iptables v1.8.0 (legacy)

(BZ#1644030)

RHEL 8中值得注意的TCP功能

红帽企业版Linux 8与TCP网络堆栈版本4.16一起分发,提供更高的性能,更好的可扩展性和更高的稳定性。特别是对于具有高入口连接速率的繁忙TCP服务器,性能得到提升。

另外,两个新的TCP拥塞算法, BBRNV, ,可用,在大多数情况下提供比立方更低的延迟和更好的吞吐量。

(BZ#1562998)

firewalld 使用 nftables 默认情况下

有了这个更新, nftables 过滤子系统是默认的防火墙后端 firewalld 守护进程。要更改后端,请使用 FirewallBackend 选项 /etc/firewalld.conf 文件。

此更改在使用时引入了以下行为差异 nftables

  1. iptables 规则执行总是在之前发生 firewalld 规则

    • DROPiptables 表示从未见过数据包 firewalld
    • ACCEPTiptables 表示数据包仍然受制于 firewalld 规则
  2. firewalld 直接规则仍然通过实施 iptables 而其他 firewalld 功能使用 nftables
  3. 直接规则执行发生之前 firewalld 对已建立的连接的一般接受

(BZ#1509026)

值得注意的变化 wpa_supplicant 在RHEL 8中

在Red Hat Enterprise Linux(RHEL)8中 wpa_supplicant 包是用 CONFIG_DEBUG_SYSLOG 启用。这允许阅读 wpa_supplicant 用日志记录 journalctl 实用程序而不是检查的内容 /var/log/wpa_supplicant.log 文件。

(BZ#1582538)

网络管理器 现在支持SR-IOV虚拟功能

在Red Hat Enterprise Linux 8.0中, 网络管理器 允许为支持单根I / O虚拟化(SR-IOV)的接口配置虚拟功能(VF)的数量。另外, 网络管理器 允许配置VF的某些属性,例如MAC地址,VLAN,等 spoof checking 设置和允许比特率。请注意,所有与SR-IOV相关的属性都可以在 sriov 连接设置。有关详细信息,请参阅 nm-settings(5) 手册页。

(BZ#1555013)

现在支持IPVLAN虚拟网络驱动程序

在Red Hat Enterprise Linux 8.0中,内核包括对IPVLAN虚拟网络驱动程序的支持。通过此更新,IPVLAN虚拟网络接口卡(NIC)可为多个容器启用网络连接,从而将单个MAC地址暴露给本地网络。这允许单个主机具有许多容器,以克服对等网络设备支持的MAC地址数量的可能限制。

(BZ#1261167)

网络管理器 支持连接的通配符接口名称匹配

以前,可以仅使用接口名称上的完全匹配来限制与给定接口的连接。通过此更新,连接有一个新的 match.interface-name 支持通配符的属性。此更新使用户能够使用通配符模式以更灵活的方式为连接选择接口。

(BZ#1555012)

网络堆栈的改进4.18

红帽企业Linux 8.0包括升级到上游版本4.18的网络堆栈,它提供了一些错误修复和增强功能。值得注意的变化包括:

  • 引入了新的卸载功能,例如 UDP_GSO, ,对于某些设备驱动程序, GRO_HW
  • 改进了用户数据报协议(UDP)的显着可扩展性。
  • 改进了通用繁忙轮询代码。
  • 改进了IPv6协议的可扩展性。
  • 改进了路由代码的可扩展性。
  • 添加了新的默认传输队列调度算法,fq_codel, ,这改善了传输延迟。
  • 改进了一些传输队列调度算法的可扩展性。例如, pfifo_fast 现在无锁。

(BZ#1562987)

转换的新工具 iptablesnftables

此更新添加了 iptables-translateip6tables-translate 转换现有的工具 iptables 要么 ip6tables 规则等同于 nftables。请注意,某些扩展缺少翻译支持。如果存在这样的扩展名,则该工具将打印带有前缀的未翻译规则 # 标志。例如:

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill
| nft # -A INPUT -j CHECKSUM --checksum-fill

此外,用户可以使用 iptables-restore-translateip6tables-restore-translate 翻译规则转储的工具。请注意,在此之前,用户可以使用 iptables-save 要么 ip6tables-save 用于打印当前规则转储的命令。例如:

| % sudo iptables-save >/tmp/iptables.dump
| % iptables-restore-translate -f /tmp/iptables.dump
| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018
| add table ip nat
| ...

(BZ#1564596)

使用添加到VPN的新功能 网络管理器

在Red Hat Enterprise Linux 8.0中, 网络管理器 为VPN提供以下新功能:

  • 支持Internet密钥交换版本2(IKEv2)协议。
  • 添加了一些 Libreswan 选项,例如 rightid, ,leftcert, ,narrowing, ,rekey, ,fragmentation 选项。有关支持的选项的更多详细信息,请参阅 nm-settings-libreswan 手册页。
  • 更新了默认密码。这意味着当用户没有指定密码时, NetworkManager的-libreswan 插件允许 Libreswan 应用程序选择系统默认密码。唯一的例外是用户选择IKEv1主动模式配置。在这种情况下, ike = aes256-sha1;modp1536eps = aes256-sha1 值传递给 Libreswan

(BZ#1557035)

一种新的数据块类型, I-DATA, ,添加到SCTP

此更新添加了新的数据块类型, I-DATA, ,以及流调度传输协议(SCTP)的流调度程序。以前,SCTP以与用户发送的顺序相同的顺序发送用户消息。因此,大型SCTP用户消息会阻止任何流中的所有其他消息,直到完全发送。使用时 I-DATA 块,传输序列号(TSN)字段不会过载。因此,SCTP现在可以以不同的方式安排流,并且 I-DATA 允许用户消息交错(RFC 8260)。请注意,两个对等方都必须支持 I-DATA 块类型。

(BZ#1273139)


为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。