4.13. 聯網 (機器翻譯)

nftables 取代 iptables 作為默認的網絡包過濾框架

nftables 框架提供了數據包分類工具,它是指定的繼承者 iptables, ,ip6tables, ,arptables, ,和 ebtables 工具。與以前的數據包過濾工具相比,它在方便性,功能和性能方面提供了許多改進,最值得注意的是:

  • 查找表而不是線性處理
  • 兩者的單一框架 IPv4IPv6 協議
  • 所有規則都以原子方式應用,而不是獲取,更新和存儲完整的規則集
  • 支持在規則集中進行調試和跟踪(nftrace並監控跟踪事件(在 nft 工具)
  • 更一致和緊湊的語法,沒有特定於協議的擴展
  • 適用於第三方應用程序的Netlink API

與...類似 iptables, ,nftables 使用表來存儲鏈。鏈包含執行操作的單獨規則。該 nft 工具取代了以前的數據包過濾框架中的所有工具。該 libnftables 庫可以用於低級別的交互 nftables Netlink API上 libmnl 圖書館。

iptables, ,ip6tables, ,ebtablesarptables 工具由具有相同名稱的基於nftables的插入式替換替換。雖然外部行為與傳統行為相同,但在內部使用 nftables 與遺產 netfilter 內核模塊通過所需的兼容性接口。

模塊對模塊的影響 nftables 可以使用。來觀察規則集 nft list ruleset 命令。由於這些工具將表,鍊和規則添加到 nftables 規則集,請注意 nftables 規則集操作,例如 nft flush ruleset 命令可能會影響使用以前單獨的舊命令安裝的規則集。

要快速識別工具的哪個變體,版本信息已更新為包含後端名稱。在RHEL 8中,基於nftables iptables 工具打印以下版本字符串: 

$ iptables --version
iptables v1.8.0 (nf_tables)

為了進行比較,如果是舊版,則打印以下版本信息 iptables 工具存在: 

$ iptables --version
iptables v1.8.0 (legacy)

(BZ#1644030)

RHEL 8中值得注意的TCP功能

紅帽企業版Linux 8與TCP網絡堆棧版本4.16一起分發,提供更高的性能,更好的可擴展性和更高的穩定性。特別是對於具有高入口連接速率的繁忙TCP服務器,性能得到提升。

另外,兩個新的TCP擁塞算法, BBRNV, ,可用,在大多數情況下提供比立方更低的延遲和更好的吞吐量。

(BZ#1562998)

firewalld 使用 nftables 默認情況下

有了這個更新, nftables 過濾子系統是默認的防火牆後端 firewalld 守護進程。要更改後端,請使用 FirewallBackend 選項 /etc/firewalld.conf 文件。

此更改在使用時引入了以下行為差異 nftables

  1. iptables 規則執行總是在之前發生 firewalld 規則

    • DROPiptables 表示從未見過數據包 firewalld
    • ACCEPTiptables 表示數據包仍然受制於 firewalld 規則
  2. firewalld 直接規則仍然通過實施 iptables 而其他 firewalld 功能使用 nftables
  3. 直接規則執行發生之前 firewalld 對已建立的連接的一般接受

(BZ#1509026)

值得注意的變化 wpa_supplicant 在RHEL 8中

在Red Hat Enterprise Linux(RHEL)8中 wpa_supplicant 包是用 CONFIG_DEBUG_SYSLOG 啟用。這允許閱讀 wpa_supplicant 用日誌記錄 journalctl 實用程序而不是檢查的內容 /var/log/wpa_supplicant.log 文件。

(BZ#1582538)

網絡管理器 現在支持SR-IOV虛擬功能

在Red Hat Enterprise Linux 8.0中, 網絡管理器 允許為支持單根I / O虛擬化(SR-IOV)的接口配置虛擬功能(VF)的數量。另外, 網絡管理器 允許配置VF的某些屬性,例如MAC地址,VLAN,等 spoof checking 設置和允許比特率。請注意,所有與SR-IOV相關的屬性都可以在 sriov 連接設置。有關詳細信息,請參閱 nm-settings(5) 手冊頁。

(BZ#1555013)

現在支持IPVLAN虛擬網絡驅動程序

在Red Hat Enterprise Linux 8.0中,內核包括對IPVLAN虛擬網絡驅動程序的支持。通過此更新,IPVLAN虛擬網絡接口卡(NIC)可為多個容器啟用網絡連接,從而將單個MAC地址暴露給本地網絡。這允許單個主機具有許多容器,以克服對等網絡設備支持的MAC地址數量的可能限制。

(BZ#1261167)

網絡管理器 支持連接的通配符接口名稱匹配

以前,可以僅使用接口名稱上的完全匹配來限制與給定接口的連接。通過此更新,連接有一個新的 match.interface-name 支持通配符的屬性。此更新使用戶能夠使用通配符模式以更靈活的方式為連接選擇接口。

(BZ#1555012)

網絡堆棧的改進4.18

紅帽企業Linux 8.0包括升級到上游版本4.18的網絡堆棧,它提供了一些錯誤修復和增強功能。值得注意的變化包括:

  • 引入了新的卸載功能,例如 UDP_GSO, ,對於某些設備驅動程序, GRO_HW
  • 改進了用戶數據報協議(UDP)的顯著可擴展性。
  • 改進了通用繁忙輪詢代碼。
  • 改進了IPv6協議的可擴展性。
  • 改進了路由代碼的可擴展性。
  • 添加了新的默認傳輸隊列調度算法,fq_codel, ,這改善了傳輸延遲。
  • 改進了一些傳輸隊列調度算法的可擴展性。例如, pfifo_fast 現在無鎖。

(BZ#1562987)

轉換的新工具 iptablesnftables

此更新添加了 iptables-translateip6tables-translate 轉換現有的工具 iptables 要么 ip6tables 規則等同於 nftables。請注意,某些擴展缺少翻譯支持。如果存在這樣的擴展名,則該工具將打印帶有前綴的未翻譯規則 # 標誌。例如: 

| % iptables-translate -A INPUT -j CHECKSUM --checksum-fill
| nft # -A INPUT -j CHECKSUM --checksum-fill

此外,用戶可以使用 iptables-restore-translateip6tables-restore-translate 翻譯規則轉儲的工具。請注意,在此之前,用戶可以使用 iptables-save 要么 ip6tables-save 用於打印當前規則轉儲的命令。例如: 

| % sudo iptables-save >/tmp/iptables.dump
| % iptables-restore-translate -f /tmp/iptables.dump
| # Translated by iptables-restore-translate v1.8.0 on Wed Oct 17 17:00:13 2018
| add table ip nat
| ...

(BZ#1564596)

使用添加到VPN的新功能 網絡管理器

在Red Hat Enterprise Linux 8.0中, 網絡管理器 為VPN提供以下新功能:

  • 支持Internet密鑰交換版本2(IKEv2)協議。
  • 添加了一些 Libreswan 選項,例如 rightid, ,leftcert, ,narrowing, ,rekey, ,fragmentation 選項。有關支持的選項的更多詳細信息,請參閱 nm-settings-libreswan 手冊頁。
  • 更新了默認密碼。這意味著當用戶沒有指定密碼時, NetworkManager的-libreswan 插件允許 Libreswan 應用程序選擇系統默認密碼。唯一的例外是用戶選擇IKEv1主動模式配置。在這種情況下, ike = aes256-sha1;modp1536eps = aes256-sha1 值傳遞給 Libreswan

(BZ#1557035)

一種新的數據塊類型, I-DATA, ,添加到SCTP

此更新添加了新的數據塊類型, I-DATA, ,以及流調度傳輸協議(SCTP)的流調度程序。以前,SCTP以與用戶發送的順序相同的順序發送用戶消息。因此,大型SCTP用戶消息會阻止任何流中的所有其他消息,直到完全發送。使用時 I-DATA 塊,傳輸序列號(TSN)字段不會過載。因此,SCTP現在可以以不同的方式安排流,並且 I-DATA 允許用戶消息交錯(RFC 8260)。請注意,兩個對等方都必須支持 I-DATA 塊類型。

(BZ#1273139)