6.4.4. 网络

内核现在支持 bitmap:ipmachash:ipmachash:mac IP 设置类型中的目的地 MAC 地址

在以前的版本中,bitmap:ipmachash:ipmachash:mac IP 集合类型的内核实施只允许在源 MAC 地址上匹配,而目的地 MAC 地址则可指定,但不会与设置的条目匹配。因此,管理员可以创建在其中一个 IP 设置类型中使用目的地 MAC 地址的 iptables 规则,但与给定规格匹配的数据包实际上不会被分类。在这个版本中,内核比较目的地 MAC 地址,如果指定的分类与数据包的目标 MAC 地址对应,则返回匹配项。因此,与目的地 MAC 地址匹配的规则现在可以正常工作。

(BZ#1649087)

gnome-control-center 应用程序现在支持编辑高级 IPsec 设置

在以前的版本中,gnome-control-center 应用程序只显示 IPsec VPN 连接的高级选项。因此,用户无法更改这些设置。在这个版本中,高级设置中的字段可以被编辑,用户可以保存更改。

(BZ#1697329)

更新了 iptables-extensions(8) man page 中的 TRACE 目标

在以前的版本中,iptables-extensions(8) man page 中的 TRACE 目标描述只涉及 compat 变体,但 Red Hat Enterprise Linux 8 使用 nf_tables 变体。因此,man page 没有引用 xtables-monitor 命令行工具来显示 TRACE 事件。这个 man page 已被更新,现在会提到 xtables-monitor

(BZ#1658734)

改进了 ipset 服务中的错误日志

在以前的版本中,ipset 服务没有在 systemd 日志中报告具有有意义的严重性的配置错误。无效配置条目的严重性级别只为 informational,服务没有报告无法使用的配置的错误。因此,管理员很难识别和排除 ipset 服务配置中的问题。在这个版本中,ipset 会在 systemd 日志中记录配置问题作为一个 warnings;如果服务启动失败,它会在日志中记录一个 error 级别的条目,其中包括更详细的信息。现在,在配置 ipset 服务时进行故障排除更为简单。

(BZ#1683711)

ipset 服务现在会忽略启动过程中无效的配置条目

ipset 服务将配置存储为独立文件中的集合。在以前的版本中,当服务启动时,它会从单个操作中的所有集合中恢复配置,而不过滤可以通过手动编辑集合插入的无效条目。因此,如果单个配置条目无效,服务不会恢复其他不相关的集合。这个问题已被解决。因此,ipset 服务会在恢复操作过程中检测到并删除无效的配置条目,并忽略无效的配置条目。

(BZ#1683713)

ipset list 命令为 hash 设置类型报告一致的内存

当您向 hash 设置类型中添加条目时,ipset 工具必须通过分配额外内存块来为新条目重新定义内存表示大小。在以前的版本中,ipset 只将每个设置的分配大小设置为新块的大小,而不是将值添加到当前的内存中大小。因此,ip list 命令报告内存大小不一致。在这个版本中,ipset 可以正确地计算内存大小。现在,ipset list 命令显示集合的正确内存大小,输出与 hash 设置类型的实际分配内存匹配。

(BZ#1714111)

现在,内核在接收 ICMPv6 Packet Too Big 信息时可以正确地更新 PMTU

在某些情况下,如本地链路地址,多个路由可以匹配源地址。在以前的版本中,当接收 Internet 控制消息协议版本 6(ICMPv6)数据包时,内核不会检查输入接口。因此,路由查找可能会返回与输入接口不匹配的目的地。因此,当收到 ICMPv6 Packet Too Big 消息时,内核可以为不同的输入接口更新路径最大传输单元(PMTU)。在这个版本中,内核会在路由查找过程中检查输入接口。现在,内核会根据源地址更新正确的目的地,PMTU 可以正常工作。

(BZ#1721961)

/etc/hosts.allow/etc/hosts.deny 文件不再包含对删除的过期引用 tcp_wrappers

在以前的版本中,/etc/hosts.allow/etc/hosts.deny 文件包含 tcp_wrappers 软件包的过期信息。这些文件在 RHEL 8 中删除,因为 tcp_wrappers 不再需要它们,所以它被删除。

(BZ#1663556)