Опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.8, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости – iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nf_tables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов.
В новой версии:
- В утилиту iptables-translate, преобразующую правила iptables в наборы правил nftables, добавлена поддержка выражений connlimit и tcpmss, для блоков sctp и multiport реализована возможность использования опций “–chunk-types” и “–ports”.
- Упрощён перевод в правила nftables блоков conntrack и опции “–tcp-flags”.
- В libxtables запрещена работа при вызове из исполняемых файлов с флагом setuid.
- В утилите iptables-nft разрешено удаление встроенных цепочек.
- В iptables-nft добавлен парсер правил из утилиты arptables-nft.
- В утилите arptables-nft добавлена поддержка команд ‘-C’ и ‘-S’, реализована индексация правил для команд ‘-I’ и ‘-R’, добавлена поддержка синтаксиса счётчиков ‘-c N,M’.
- В таблицах *NAT прекращена поддержка указания разом нескольких диапазонов адресов IPv4.
- Реализована возможность включения отладочного вывода в iptables-restore, iptables-nft и ebtables-nft через повторное указание опции ‘-v’.
- Повышена производительность утилит iptables-save и iptables-restore.
Release.
Ссылка here.