Обновление iptables 1.4.14 и conntrack-tools 1.2

Материал из Викиновостей, свободного источника новостей

27 мая 2012 года

Доступно обновление iptables 1.4.14, набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter. В новой версии реализована полная совместимость с Linux-ядром 3.4 и исправлено несколько ошибок. В частности, добавлена поддержка появившейся в ядре 3.4 инфраструктуры cttimeout, позволяющая привязать определённые политики использования таймаутов для потока через действие "CT" в iptables.

Для определения политики применения таймаутов следует использовать новую утилиту nfct, которую можно найти в составе новой версии пакета conntrack-tools. Также подготовлена специальная библиотека libnetfilter_cttimeout, предоставляющая программный интерфейс к инфраструктуре cttimeout. В качестве примера создадим политику custom-tcp-policy и привяжем её к трафику, идущему от IP 1.1.1.1 к IP 2.2.2.2:


nfct timeout add custom-tcp-policy1 inet tcp established 200
iptables -I PREROUTING -t raw -s 1.1.1.1 -d 2.2.2.2 -p tcp \\
-j CT --timeout custom-tcp-policy1

Одновременно представлен релиз инструментария conntrack-tools 1.2.0, содержащего набор средств для управления таблицами установленных соединений (conntrack). Кроме утилиты для выполнения таких задач, как просмотр, отслеживание изменений и модификация содержимого conntrack-таблицы, в состав пакета входит фоновый процесс conntrackd, дающий возможность обеспечить централизованное накопление статистики или организовать синхронизацию conntrack-таблиц между несколькими серверами, что может быть использовано для построения кластеров высокой доступности.

В новой версии conntrack-tools добавлена поддержка синхронизации ожидания (ExpectationSync) для обеспечения согласованного отслеживания соединений для протоколов, использующих отдельные потоки для управления и передачи данных (например, FTP, H.323 и SIP). Вторым значительным улучшением является утилита nfct. В настоящее время утилита nfct поддерживает только управление политиками cttimeout, но в будущем функциональность будет расширена и со временем данная утилита полностью заменит собой программу conntrack.

Источники[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Обновление iptables 1.4.14 и conntrack-tools 1.2», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.