Если вы, как и я, привыкли к классическим iptables и подумывали, что это уже старый друг, с которым пора распрощаться, держите новость — iptables живее всех живых! 10 ноября 2024 года вышел свежий релиз — iptables 1.8.11, и он принес несколько интересных фич для тех, кто продолжает работать с этим инструментариям, даже несмотря на тренд на переход к nftables.
Зачем вообще этот релиз, когда есть nftables?
Давайте сразу поясним, чтобы не было путаницы. Да, iptables в 2018 году объявили устаревшим, и многие дистрибутивы Linux уже активно пихают нас на сторону nftables. Но, как показывает практика, в мире корпоративной инфраструктуры и безопасности обратная совместимость — это золотой стандарт. Вот почему команда разработчиков продолжает поддерживать iptables, точнее, его «реинкарнацию» — iptables-nft, которая использует знакомый синтаксис, но работает поверх движка nftables. Это не просто «старый винт в новом корпусе», а скорее мост между привычными инструментами и новым стеком.
Что нового в iptables 1.8.11?
Теперь давайте разберемся, что именно привнесло обновление и чем оно может пригодиться нам в повседневной работе.
1. arptables-translate: переводим старое на новый лад
Добавили новую утилиту arptables-translate, которая выполняет перевод старых добрых правил arptables в формат nftables. Теперь не нужно вручную переписывать конфигурации — просто используй арп-транслятор и наслаждайся.
Инженерная шутка: «Если бы перевести на nftables можно было всё так же просто, как утилиты iptables, я бы уже и свой кофе на nft перевел».
2. Расширение функционала ebtables-nft
Теперь ebtables-nft поддерживает команды --change-counters, --replace и --list-rules. Особенно порадует тех, кто отслеживает трафик, возможность указания счетчиков для правил через флаг -c N,M. Также добавили возможность обнуления отдельных правил, что особенно полезно для тестирования.
3. Новые возможности в iptables-translate
Для любителей «старой школы» добавлена поддержка целей TPROXY и расширения xt_socket для проверки сокетов. Теперь, если вы использовали эти цели в своих старых правилах, переход на iptables-nft станет еще проще. Также унифицировали определение имен протоколов — больше никаких разногласий между iptables и iptables-save.
4. Оптимизация iptables-save
Говоря о iptables-save, теперь вызовы getprotobynumber() исключены. Зачем это нужно? Всё просто: если у вас огромный набор правил, это изменение ускорит работу, уменьшив задержки при сохранении конфигурации. Да, мелочь, но в условиях высокой нагрузки даже такие оптимизации могут вытащить из беды.
5. Плюшки в configure
Для тех, кто собирает iptables с исходников, добавлена опция отключения сборки с libnfnetlink. Это может быть полезно, если у вас узкий набор задач и вы хотите минимизировать зависимости.
Заключение: iptables vs nftables — битва продолжается
Можно ли сказать, что этот релиз — попытка «реанимировать» iptables? Скорее, это попытка сделать переход на nftables менее болезненным для тех, кто привык работать с классическим интерфейсом. Если вы ещё не перешли на nftables, то с iptables 1.8.11 можно спать спокойно, зная, что ваши старые конфиги всё ещё будут работать как часы.
Секрет DevOps-мастера: «Я всегда говорю — не спешите прощаться с проверенными инструментами, они ещё могут выручить вас в самый неожиданный момент!»
Так что, друзья, обновляемся, тестируем и продолжаем защищать наши сервера в стиле старой школы, но с новыми возможностями.
