Доступно (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) обновление iptables 1.4.14 (http://www.iptables.org), набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter (http://www.netfilter.org/). В новой версии реализована полная совместимость с Linux-ядром 3.4 (https://www.opennet.ru/opennews/art.shtml?num=33888) и исправлено несколько ошибок. В частности, добавлена поддержка появившейся в ядре 3.4 инфраструктуры cttimeout, позволяющая привязать определённые политики использования таймаутов для потока через действие "CT" в iptables.
Для определения политики применения таймаутов следует использовать новую утулиту nfct, которую можно найти в составе новой версии пакета conntrack-tools. Также подготовлена (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) специальная библиотека libnetfilter_cttimeout, предоставляющая программный интерфейс к инфраструктуре cttimeout. В качестве примера создадим политику custom-tcp-policy и привяжем её к трафику, идущему от IP 1.1.1.1 к IP 2.2.2.2:
<font color="#461b7e">
nfct timeout add custom-tcp-policy1 inet tcp established 200
iptables -I PREROUTING -t raw -s 1.1.1.1 -d 2.2.2.2 -p tcp \
-j CT --timeout custom-tcp-policy1
</font>
Одновременно представлен (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) релиз инструментария conntrack-tools 1.2.0 (http://conntrack-tools.netfilter.org/), содержащего набор средств для управления таблицами установленных соединений (conntrack). Кроме утилиты для выполнения таких задач, как просмотр, отслеживание изменений и модификация содержимого conntrack-таблицы, в состав пакета входит фоновый процесс conntrackd, дающий возможность обеспечить централизованное накопление статистики или организовать синхронизацию conntrack-таблиц между несколькими серверами, что может быть использовано для построения кластеров высокой доступности.
В новой версии conntrack-tools добавлена поддержка синхронизации ожидания (http://conntrack-tools.netfilter.org/manual.html#sync-expect) (ExpectationSync) для обеспечения согласованного отслеживания соединений для протоколов, использующих отдельные потоки для управления и передачи данных (например, FTP, H.323 и SIP). Вторым значительным улучшением, является утилита nfct. В настоящее время утилита nfct поддерживает только управление политиками cttimeout, но в будущем функциональность будет расширена и со временем данная утилита полностью заменит собой программу conntrack.
URL: http://lists.netfilter.org/pipermail/netfilter-announce/2012...
Новость: https://www.opennet.ru/opennews/art.shtml?num=33947