通过NFTables流表实现更快转发性能的Firewalld 2.0发布

自2011年以来，firewall开源防火墙守护进程一直在开发中，而直到两年前，它才达到firewall1.0的里程碑。因此，今天发布firewall2.0有点令人惊讶。

firewall2.0版本是由禁止区域漂移的更改引起的。修复是围绕解决防火墙策略可能最终违反“数据包进入一个且仅一个区域”规则的问题。在此提交中解释了更改。

firewall2.0还增加了对NFTables流表的支持，这是一种软件快速路径，可以显著提高转发性能。启用NftablesFlowtable的防火墙在网络转发方面提高了约59%的性能。有关此功能的更多详细信息，请访问Firewalld.org博客。防火墙2.0还增加了一个新的区域优先级特性。

firewall2.0还取消了TFTP客户端服务。防火墙的TFTP客户端服务是用来访问琐碎文件传输协议服务器的，但它在实践中并不实际工作。当被添加到一个区域时，该服务“从未真正工作”。相反，建议TFTP用户设置一个策略，例如:

# firewall-cmd --permanent --new-policy hostTftpTraffic
# firewall-cmd --permanent --policy hostTftpTraffic --add-ingress-zone HOST
# firewall-cmd --permanent --policy hostTftpTraffic --add-egress-zone ANY
# firewall-cmd --permanent --policy hostTftpTraffic --add-service tftp

firewall2.0还增加了对服务文件的支持，以处理许多游戏的防火墙配置，从纪元1800到公元0到Minecraft, Stellaris, SuperTuxKart，以及许多其他游戏。还为Zabbix Java Gateway、Zabbix Web service、OpenTelemetry等添加了服务文件。