6.4.4. Red
El kernel ahora soporta direcciones MAC de destino en los tipos de conjuntos IP bitmap:ipmac, hash:ipmac y hash:mac
Anteriormente, la implementación del kernel de los tipos de conjuntos IP bitmap:ipmac, hash:ipmac y hash:mac sólo permitía la coincidencia con la dirección MAC de origen, mientras que las direcciones MAC de destino podían especificarse, pero no se comparaban con las entradas del conjunto. Como consecuencia, los administradores podían crear reglas iptables que utilizaban una dirección MAC de destino en uno de estos tipos de conjuntos IP, pero los paquetes que coincidían con la especificación dada no eran realmente clasificados. Con esta actualización, el núcleo compara la dirección MAC de destino y devuelve una coincidencia si la clasificación especificada corresponde a la dirección MAC de destino de un paquete. Como resultado, las reglas que hacen coincidir los paquetes con la dirección MAC de destino ahora funcionan correctamente.
(BZ#1649087)
La aplicación gnome-control-center ahora soporta la edición de la configuración avanzada de IPsec
Anteriormente, la aplicación gnome-control-center sólo mostraba las opciones avanzadas de las conexiones VPN IPsec. En consecuencia, los usuarios no podían cambiar estas opciones. Con esta actualización, los campos de la configuración avanzada son ahora editables, y los usuarios pueden guardar los cambios.
Se ha actualizado el objetivo TRACE en la página man de iptables-extensions(8)
Anteriormente, la descripción del objetivo TRACE en la página man de iptables-extensions(8) se refería sólo a la variante compat, pero Red Hat Enterprise Linux 8 utiliza la variante nf_tables. Como consecuencia, la página de manual no hacía referencia a la utilidad de línea de comandos xtables-monitor para mostrar los eventos TRACE. La página man ha sido actualizada y, como resultado, ahora menciona xtables-monitor.
Se ha mejorado el registro de errores en el servicio ipset
Anteriormente, el servicio ipset no informaba de los errores de configuración con una gravedad significativa en los registros de systemd. El nivel de gravedad de las entradas de configuración no válidas era sólo informativo, y el servicio no informaba de los errores de una configuración inutilizable. Como consecuencia, era difícil para los administradores identificar y solucionar problemas en la configuración del servicio ipset. Con esta actualización, ipset informa de los problemas de configuración como advertencias en los registros de systemd y, si el servicio no se inicia, registra una entrada con la gravedad del error incluyendo más detalles. Como resultado, ahora es más fácil solucionar problemas en la configuración del servicio ipset.
El servicio ipset ahora ignora las entradas de configuración no válidas durante el arranque
El servicio ipset almacena las configuraciones como conjuntos en archivos separados. Anteriormente, cuando el servicio se iniciaba, restauraba la configuración de todos los conjuntos en una sola operación, sin filtrar las entradas no válidas que se pueden insertar al editar manualmente un conjunto. Como consecuencia, si una sola entrada de configuración no era válida, el servicio no restauraba otros conjuntos no relacionados. El problema se ha solucionado. Como resultado, el servicio ipset detecta y elimina las entradas de configuración no válidas durante la operación de restauración, e ignora las entradas de configuración no válidas.
El comando ipset list informa de la memoria consistente para los tipos de conjuntos hash
Cuando se añaden entradas a un tipo de conjunto hash, la utilidad ipset debe redimensionar la representación en memoria para las nuevas entradas asignando un bloque de memoria adicional. Anteriormente, ipset establecía el tamaño total asignado por conjunto sólo al tamaño del nuevo bloque en lugar de añadir el valor al tamaño actual en memoria. Como consecuencia, el comando ip list informaba de un tamaño de memoria inconsistente. Con esta actualización, ipset calcula correctamente el tamaño en memoria. Como resultado, el comando ipset list muestra ahora el tamaño correcto en memoria del conjunto, y la salida coincide con la memoria real asignada para los tipos de conjuntos hash.
(BZ#1714111)
El kernel ahora actualiza correctamente la PMTU al recibir el mensaje ICMPv6 Packet Too Big
En ciertas situaciones, como en el caso de las direcciones de enlace local, más de una ruta puede coincidir con una dirección de origen. Anteriormente, el kernel no comprobaba la interfaz de entrada cuando recibía paquetes del Protocolo de mensajes de control de Internet versión 6 (ICMPv6). Por lo tanto, la búsqueda de rutas podía devolver un destino que no coincidía con la interfaz de entrada. En consecuencia, al recibir un mensaje ICMPv6 Packet Too Big, el kernel podía actualizar la Path Maximum Transmission Unit (PMTU) para una interfaz de entrada diferente. Con esta actualización, el kernel comprueba la interfaz de entrada durante la búsqueda de la ruta. Como resultado, el kernel ahora actualiza el destino correcto basado en la dirección de origen y la PMTU funciona como se espera en el escenario descrito.
(BZ#1721961)
Los archivos /etc/hosts.allow y /etc/hosts.deny ya no contienen referencias obsoletas a los tcp_wrapperseliminados
Anteriormente, los archivos /etc/hosts.allow y /etc/hosts.deny contenían información obsoleta sobre el paquete tcp_wrappers. Los archivos se han eliminado en RHEL 8 porque ya no son necesarios para tcp_wrappers, que se ha eliminado.
