4.13. 聯網 (機器翻譯)
nftables
取代 iptables
作為默認的網絡包過濾框架
該 nftables
框架提供了數據包分類工具,它是指定的繼承者 iptables
, ,ip6tables
, ,arptables
, ,和 ebtables
工具。與以前的數據包過濾工具相比,它在方便性,功能和性能方面提供了許多改進,最值得注意的是:
- 查找表而不是線性處理
-
兩者的單一框架
IPv4
和IPv6
協議 - 所有規則都以原子方式應用,而不是獲取,更新和存儲完整的規則集
-
支持在規則集中進行調試和跟踪(
nftrace
並監控跟踪事件(在nft
工具) - 更一致和緊湊的語法,沒有特定於協議的擴展
- 適用於第三方應用程序的Netlink API
與...類似 iptables
, ,nftables
使用表來存儲鏈。鏈包含執行操作的單獨規則。該 nft
工具取代了以前的數據包過濾框架中的所有工具。該 libnftables
庫可以用於低級別的交互 nftables
Netlink API上 libmnl
圖書館。
該 iptables
, ,ip6tables
, ,ebtables
和 arptables
工具由具有相同名稱的基於nftables的插入式替換替換。雖然外部行為與傳統行為相同,但在內部使用 nftables
與遺產 netfilter
內核模塊通過所需的兼容性接口。
模塊對模塊的影響 nftables
可以使用。來觀察規則集 nft list ruleset
命令。由於這些工具將表,鍊和規則添加到 nftables
規則集,請注意 nftables
規則集操作,例如 nft flush ruleset
命令可能會影響使用以前單獨的舊命令安裝的規則集。
要快速識別工具的哪個變體,版本信息已更新為包含後端名稱。在RHEL 8中,基於nftables iptables
工具打印以下版本字符串:
$ iptables --version iptables v1.8.0 (nf_tables)
為了進行比較,如果是舊版,則打印以下版本信息 iptables
工具存在:
$ iptables --version iptables v1.8.0 (legacy)
(BZ#1644030)
RHEL 8中值得注意的TCP功能
紅帽企業版Linux 8與TCP網絡堆棧版本4.16一起分發,提供更高的性能,更好的可擴展性和更高的穩定性。特別是對於具有高入口連接速率的繁忙TCP服務器,性能得到提升。
另外,兩個新的TCP擁塞算法, BBR
和 NV
, ,可用,在大多數情況下提供比立方更低的延遲和更好的吞吐量。
(BZ#1562998)
firewalld
使用 nftables
默認情況下
有了這個更新, nftables
過濾子系統是默認的防火牆後端 firewalld
守護進程。要更改後端,請使用 FirewallBackend
選項 /etc/firewalld.conf
文件。
此更改在使用時引入了以下行為差異 nftables
:
iptables
規則執行總是在之前發生firewalld
規則-
DROP
在iptables
表示從未見過數據包firewalld
-
ACCEPT
在iptables
表示數據包仍然受制於firewalld
規則
-
-
firewalld
直接規則仍然通過實施iptables
而其他firewalld
功能使用nftables
-
直接規則執行發生之前
firewalld
對已建立的連接的一般接受
(BZ#1509026)
值得注意的變化 wpa_supplicant
在RHEL 8中
在Red Hat Enterprise Linux(RHEL)8中 wpa_supplicant
包是用 CONFIG_DEBUG_SYSLOG
啟用。這允許閱讀 wpa_supplicant
用日誌記錄 journalctl
實用程序而不是檢查的內容 /var/log/wpa_supplicant.log
文件。
(BZ#1582538)
網絡管理器 現在支持SR-IOV虛擬功能
在Red Hat Enterprise Linux 8.0中, 網絡管理器 允許為支持單根I / O虛擬化(SR-IOV)的接口配置虛擬功能(VF)的數量。另外, 網絡管理器 允許配置VF的某些屬性,例如MAC地址,VLAN,等 spoof checking
設置和允許比特率。請注意,所有與SR-IOV相關的屬性都可以在 sriov
連接設置。有關詳細信息,請參閱 nm-settings(5)
手冊頁。
(BZ#1555013)
現在支持IPVLAN虛擬網絡驅動程序
在Red Hat Enterprise Linux 8.0中,內核包括對IPVLAN虛擬網絡驅動程序的支持。通過此更新,IPVLAN虛擬網絡接口卡(NIC)可為多個容器啟用網絡連接,從而將單個MAC地址暴露給本地網絡。這允許單個主機具有許多容器,以克服對等網絡設備支持的MAC地址數量的可能限制。
(BZ#1261167)
網絡管理器 支持連接的通配符接口名稱匹配
以前,可以僅使用接口名稱上的完全匹配來限制與給定接口的連接。通過此更新,連接有一個新的 match.interface-name
支持通配符的屬性。此更新使用戶能夠使用通配符模式以更靈活的方式為連接選擇接口。
(BZ#1555012)
網絡堆棧的改進4.18
紅帽企業Linux 8.0包括升級到上游版本4.18的網絡堆棧,它提供了一些錯誤修復和增強功能。值得注意的變化包括:
-
引入了新的卸載功能,例如
UDP_GSO
, ,對於某些設備驅動程序,GRO_HW
。 - 改進了用戶數據報協議(UDP)的顯著可擴展性。
- 改進了通用繁忙輪詢代碼。
- 改進了IPv6協議的可擴展性。
- 改進了路由代碼的可擴展性。
-
添加了新的默認傳輸隊列調度算法,
fq_codel
, ,這改善了傳輸延遲。 -
改進了一些傳輸隊列調度算法的可擴展性。例如,
pfifo_fast
現在無鎖。
(BZ#1562987)
轉換的新工具 iptables
至 nftables
此更新添加了 iptables-translate
和 ip6tables-translate
轉換現有的工具 iptables
要么 ip6tables
規則等同於 nftables
。請注意,某些擴展缺少翻譯支持。如果存在這樣的擴展名,則該工具將打印帶有前綴的未翻譯規則 #
標誌。例如:
| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill | nft # -A INPUT -j CHECKSUM --checksum-fill
此外,用戶可以使用 iptables-restore-translate
和 ip6tables-restore-translate
翻譯規則轉儲的工具。請注意,在此之前,用戶可以使用 iptables-save
要么 ip6tables-save
用於打印當前規則轉儲的命令。例如:
| % sudo iptables-save >/tmp/iptables.dump | % iptables-restore-translate -f /tmp/iptables.dump | # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018 | add table ip nat | ...
(BZ#1564596)
使用添加到VPN的新功能 網絡管理器
在Red Hat Enterprise Linux 8.0中, 網絡管理器 為VPN提供以下新功能:
- 支持Internet密鑰交換版本2(IKEv2)協議。
-
添加了一些 Libreswan 選項,例如
rightid
, ,leftcert
, ,narrowing
, ,rekey
, ,fragmentation
選項。有關支持的選項的更多詳細信息,請參閱nm-settings-libreswan
手冊頁。 -
更新了默認密碼。這意味著當用戶沒有指定密碼時, NetworkManager的-libreswan 插件允許 Libreswan 應用程序選擇系統默認密碼。唯一的例外是用戶選擇IKEv1主動模式配置。在這種情況下,
ike = aes256-sha1;modp1536
和eps = aes256-sha1
值傳遞給 Libreswan。
(BZ#1557035)
一種新的數據塊類型, I-DATA
, ,添加到SCTP
此更新添加了新的數據塊類型, I-DATA
, ,以及流調度傳輸協議(SCTP)的流調度程序。以前,SCTP以與用戶發送的順序相同的順序發送用戶消息。因此,大型SCTP用戶消息會阻止任何流中的所有其他消息,直到完全發送。使用時 I-DATA
塊,傳輸序列號(TSN)字段不會過載。因此,SCTP現在可以以不同的方式安排流,並且 I-DATA
允許用戶消息交錯(RFC 8260)。請注意,兩個對等方都必須支持 I-DATA
塊類型。
(BZ#1273139)