iptables: fix printing of line numbers with --line-numbers arg build: fix `make install` when --disable-shared is used iprange: kernel flags were not set Add simple release script Downloads (~427 Kb)_http://www.iptables.o....4.1.1.tar.bz2
ЭЖД, 14.10.2008 - 17:32
iptables 1.4.2
build: fix iptables-static build build: do not install ip{,6}tables.h Merge branch 'master' of vishnu.netfilter.org:/data/git/iptables manpages: name and markup fixes src: remove dependency on libiptc headers src: drop libiptc from installation iptables-restore: fix segmentation fault with -tanything libxt_recent: do not allow both --set and --rttl Put xtables.c into its own library, libxtables.so manpages: correct erroneous markup physdev: remove extra space in output Warn about use of DROP in nat table Synchronize invert flag order with manpages build: fix dependency tracking for xtables.h.in build: fix initext.c dependency manpages: add missing --rsource,--rdest options to libxt_recent.man manpages: add missing rateest documentation manpages: add missing rateest match documentation libxt_mac: flatten casts in libxt_mac libxt_iprange: fix option names src: use regular includes src: Update comments build: prepare make tarball for git 1.6.0 libxt_recent: do allow --rttl for --update src: update comments part II build: run ldconfig on `make install` doc: remove mentions of NAT in ip6tables manpage libiptc: remove old fixme mark: fix invalid iptables-save output manpages: fix another typo in tcp manpage iptables-save: fix hashlimit output libxt_dscp: fix save of negated dscp match rules src: Missing limits.h includes manpages: Fix a typo in tcp man page Downloads (~426 Kb)_http://www.iptables.o...-1.4.2.tar.bz2
ЭЖД, 24.03.2009 - 20:03
iptables 1.4.3.1
Вышло обновление пакетного фильтра iptables 1.4.3, в котором отмечено более 120 изменений. Некоторые новшества:
Задействованы некоторые новые возможности Linux ядра 2.6.29,
Улучшена поддержка IPv6,
В число возможных действий с пакетами (targets) добавлена возможность перенаправления в прозрачный прокси (TPROXY),
Добавлена поддержка протоколов SCTP/DCCP для NAT правил;
В iptables теперь можно фильтровать пакеты, основываясь на принадлежности к определенному сетевому сокету (socket match).
Основным новшеством данного релиза является поддержка критерия osf (passive OS fingerprinting), аналогичного критерию os OpenBSD-фаервола pf. Оба этих критерия позволяют по TCP SYN-пакету определить семейство и, в некоторых случаях, даже примерную версию операционной системы, отправившей этот пакет. Детекция производится на основании анализа ряда характеристик пакета, таких как размер TCP-окна, максимальный размер сегмента (MSS), опции TCP, бит DF и т.п. Совокупность значений этих параметров, позволяющая однозначно идентифицировать систему-отправителя, называет сигнатурой. Существующий на настоящий момент список сигнатур, сопровождаемый сообществом OpenBSD, весьма обширен.
iptables: manpage updates for augmented -Z syntax
doc: mention maximum mark size in manpages
Support for nommu arches
realm: remove static initializations
libiptc: remove unused functions
libiptc: avoid strict-aliasing warnings
iprange: do accept non-ranges for xt_iprange v1
iprange: warn on reverse range
iprange: roll address parsing into a loop
iprange: do accept non-ranges for xt_iprange v1 (log)
iprange: warn on reverse range (log)
libiptc: fix wrong maptype of base chain counters on restore
iptables: fix undersized deletion mask creation
style: reduce indent in xtables_check_inverse
libxtables: hand argv to xtables_check_inverse
iptables/extensions: make bundled options work again
CONNMARK: print mark rules with mask 0xffffffff as set instead of xset
iptables: take masks into consideration for replace command
doc: explain experienced --hitcount limit
doc: name resolution clarification
iptables: expose option to zero packet/byte counters for a specific rule
build: restore --disable-ipv6 functionality on system w/o v6 headers
Merge branch 'zero' of git://dev.medozas.de/iptables
MARK: print mark rules with mask 0xffffffff as --set-mark instead of --set-xmark
DNAT: fix incorrect check during parsing
extensions: add osf extension
conntrack: fix --expires parsing
Merge branch 'master' of git://dev.medozas.de/iptables
Bump version to v1.4.6
doc: update TCPMSS manpage with Linux 2.6.25 changes
libip4tc: Add static qualifier to dump_entry() libipq: build as shared library recent: reorder cases in code (cosmetic cleanup) doc: fix recent manpage to reflect actual supported syntax doc: fix limit manpage to reflect actual supported syntax doc: mention requirement of additional packages for ipset policy: fix error message showing wrong option includes: header updates Lift restrictions on interface names Downloads (~463 Kb)_http://www.iptables.o...-1.4.8.tar.bz2
ЭЖД, 7.08.2010 - 9:03
iptables 1.4.9.1
extensions: add the LED target extensions: REDIRECT: add random help utils: add missing include flags to Makefile doc: xt_string: correct copy-and-pasting in manpage doc: xt_hashlimit: fix a typo doc: xt_LED: nroff formatting requirements includes: sync header files from Linux 2.6.35-rc1 xtables: another try at chain name length checking xtables: remove xtables_set_revision function libxt_hashlimit: always print burst value libxt_conntrack: do print netmask xt_quota: also document negation libxt_set: new revision added extensions: libxt_rateest: fix typo in the man page extensions: libxt_rateest: fix bps options for iptables-save Revert "Revert "Merge branch 'iptables-next'"" Merge branch 'master' of git://dev.medozas.de/iptables Merge branch 'master' of git://dev.medozas.de/iptables Merge branch 'master' of vishnu.netfilter.org:/data/git/iptables Bump version to 1.4.9 extensions: libxt_quota.c: Support option negation xt_sctp: Trace DATA chunk that supports SACK-IMMEDIATELY extension xt_sctp: support FORWARD_TSN chunk type build: fix static linking Downloads (~464 Kb)_http://www.iptables.o....4.9.1.tar.bz2
ЭЖД, 30.10.2010 - 14:50
iptables 1.4.10
В новом релизе обеспечена полная совместимость с недавно вышедшим ядром 2.6.36, включая поддержку таких возможностей, как:
* Критерий cpu, позволяющий выделять пакеты по привязке к процессорному ядру, на котором они в данный момент обрабатываются. В частности, этот критерий можно использовать для максимизации использования кэша CPU, обеспечив полную обработку каждого пакета в пределах одного процессорного ядра. Привязав серверный обработчик к конкретному ядру и заданному порту, можно отправлять на этот порт все пакеты, обрабатываемые данным ядром. * Критерий ipvs, предоставляющий возможность классифицировать пакеты по параметрам IPVS (развивающегося в рамках проекта Linux Virtual Server инструмента для балансировки соединений между несколькими серверами). В частности, к таким параметрам относятся привязанные к текущему соединению виртуальный адрес и/или виртуальный порт (виртуальные адрес-порт представляют кластеризованный средствами IPVS сервис «снаружи», так, что поступающие на них соединения автоматически балансируются между нодами кластера), что позволяет разделять пакеты на основании принадлежности к тому или иному кластерному сервису. * Действие IDLETIMER, предоставляющее механизм для отслеживания моментов простоя сетевого интерфейса. Оно обеспечивает отправку уведомления в userspace, если в течение заданного периода времени через выбранный интерфейс не прошло ни одного пакета. Таким образом можно, например, автоматически отключать бездействующие сетевые карты для уменьшения энергопотребления. * Действие CHECKSUM, предоставляющее workaround для приложений, некорректно работающих в сочетании с аппаратными реализациями разгрузки пакетов от контрольных сумм. С помощью данного действия можно обеспечить принудительный пересчет контрольных сумм для конкретного класса пакетов, что позволяет избежать необходимости полного отключения checksum offload. Downloads (~466 Kb)_http://www.netfilter....1.4.10.tar.bz2