6.7. 네트워킹

이제 tc filter show 명령으로 처리가 0xffffffffffffffffff인 경우 필터를 올바르게 표시

이전 버전에서는 TC 조각 코드의 버그로 인해 바람직하지 않은 정수 오버플로가 발생했습니다. 결과적으로 0xffffffffffffff 를 처리로 사용한 조각 규칙을 덤프하면 무한 루프가 발생할 수 있습니다. 이번 업데이트에서는 64비트 아키텍처에서 정수 오버플로를 방지할 수 있습니다. 결과적으로 tc 필터가 이 시나리오에서 더 이상 루프가 표시되지 않으며 이제 필터가 올바르게 표시됩니다.

유효하지 않은 TC 규칙을 적용하려고 할 때 커널이 더 이상 충돌하지 않음

이전 버전에서는 exchange( traffic control) 규칙을 잘못된 goto chain 매개변수를 갖는 규칙으로 교체하는 동안 커널 충돌이 발생했습니다. 이번 업데이트를 통해 커널은 설명된 시나리오에서 NULL 역참조를 피할 수 있습니다. 결과적으로 커널이 더 이상 충돌하지 않고 대신 오류 메시지가 기록됩니다.

이제 ICMPv6 Packet Too Big 메시지를 수신할 때 커널이 PMTU를 올바르게 업데이트합니다.

링크 로컬 주소에 대한 등의 특정 상황에서는 둘 이상의 경로가 소스 주소와 일치할 수 있습니다. 이전에는 ICMPv6(Internet Control Message Protocol Version 6) 패킷을 수신할 때 커널이 입력 인터페이스를 확인하지 않았습니다. 따라서 경로 조회에서 입력 인터페이스와 일치하지 않는 대상을 반환할 수 있었습니다. 결과적으로 ICMPv6 Packet Too Big 메시지를 수신할 때 커널은 다른 입력 인터페이스에 대해 PMTU(Path Maximum Transmission Unit)를 업데이트할 수 있었습니다. 이번 업데이트를 통해 커널은 경로 조회 중에 입력 인터페이스를 확인합니다. 결과적으로 커널은 이제 소스 주소를 기반으로 올바른 대상을 업데이트하고 설명된 시나리오에서 PMTU가 예상대로 작동합니다.

MACsec이 더 이상 유효한 프레임을 삭제하지 않음

이전 버전에서는 AES-GCM의 암호화 컨텍스트가 완전히 초기화되지 않은 경우 들어오는 프레임의 암호 해독에 실패했습니다. 결과적으로 MACsec은 유효한 수신 프레임을 삭제하고 InPktsNotValid 카운터를 늘립니다. 이번 업데이트를 통해 암호화 컨텍스트 초기화가 수정되었습니다. 이제 AES-GCM으로 암호 해독이 성공하고 MACsec이 더 이상 유효한 프레임을 삭제하지 않습니다.

goto 체인이 보조 TC 제어 작업으로 사용될 때 커널이 더 이상 충돌하지 않습니다.

이전 버전에서는 동작 gact 및 act police traffic control (knative) 규칙에서 잘못된 goto chain 매개변수를 보조 제어 작업으로 사용할 때 커널이 예기치 않게 종료되었습니다. 이번 업데이트를 통해 커널은 NULL 역참조와 함께 goto 체인 사용을 피하고 설명된 시나리오에서 더 이상 충돌하지 않습니다. 대신 커널은 -EINVAL 오류 메시지를 반환합니다.

커널은 더 이상 NLM_F_EXCL 세트를 사용하여 중복 규칙을 추가할 수 없습니다.

이전 버전에서는 새 정책 라우팅 규칙이 추가된 경우 커널은 규칙 콘텐츠를 확인하지 않았습니다. 결과적으로 커널은 정확히 동일한 두 개의 규칙을 추가할 수 있었습니다. 이로 인해 NetworkManager가 규칙을 캐시하려고 할 때 문제가 발생할 수 있는 규칙 세트가 복잡해졌습니다. 이번 업데이트를 통해 NLM_F_EXCL 플래그가 커널에 추가되었습니다. 이제 규칙이 추가되고 플래그가 설정되면 커널은 규칙 내용을 확인하고 규칙이 이미 존재하는 경우 EEXIST 오류를 반환합니다. 결과적으로 커널은 더 이상 중복 규칙을 추가하지 않습니다.

ipset list 명령은 해시 세트 유형의 일관된 메모리를 보고

해시 세트 유형에 항목을 추가할 때 ipset 유틸리티는 추가 메모리 블록을 할당하여 새 항목의 메모리 내 표현의 크기를 로 조정해야 합니다. 이전에는 ipset 에서 현재 메모리 내 크기에 값을 추가하는 대신 새 블록의 크기만으로 총 집합별 크기를 설정했습니다. 그 결과 ip list 명령에서 일관되지 않은 메모리 크기를 보고했습니다. 이번 업데이트를 통해 ipset 에서 메모리 내 크기를 올바르게 계산합니다. 결과적으로 ipset list 명령은 이제 세트의 올바른 메모리 크기(in-memory size)를 표시하고 출력에 해시 세트 유형의 실제 할당된 메모리와 일치합니다.

IPv6 프로토콜이 비활성화된 경우 firewalld 는 더 이상 IPv6 규칙 생성을 시도하지 않습니다.

이전 버전에서는 IPv6 프로토콜이 비활성화된 경우 ip6tables 를 사용할 수 없는 경우에도 firewalld 서비스가 ip6tables 유틸리티를 사용하여 규칙을 만들려고 잘못 시도했습니다. 결과적으로 firewalld 가 방화벽을 초기화하면 서비스에서 오류 메시지를 기록했습니다. 이번 업데이트에서는 문제가 해결되어 이제 firewalld 가 IPv6가 비활성화된 경우에만 IPv4 규칙을 초기화합니다.

firewall-cmd 의 --remove-rules 옵션은 지정된 기준과 일치하는 직접 규칙만 제거합니다.

이전에는 firewall-cmd 명령의 --remove-rules 옵션에서 제거할 규칙을 확인하지 않았습니다. 결과적으로 이 명령은 하위 집합 규칙 대신 모든 직접 규칙을 제거했습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 firewall-cmd 는 지정된 조건과 일치하는 직접 규칙만 제거합니다.

forward-ports 를 사용하여 firewalld 리치 규칙을 삭제하는 것이 예상대로 작동합니다.

이전에는 firewalld 서비스에서 forward-ports 설정을 사용하여 규칙 삭제를 잘못 처리했습니다. 그 결과 런타임 구성에서 forward-port 가 있는 리치 규칙을 삭제하는 데 실패했습니다. 이번 업데이트에서는 문제가 해결되었습니다. 결과적으로 forward-ports 를 사용하여 리치 규칙을 삭제하는 것이 예상대로 작동합니다.

패킷이 다른 영역으로 전환되지 않고 예기치 않은 동작이 발생합니다.

이전에는 하나의 영역에서 규칙을 설정할 때 firewalld 데몬에서 여러 영역의 영향을 받을 수 있었습니다. 이 동작은 firewalld 영역 개념을 위반했으며, 패킷이 단일 영역의 일부일 수 있습니다. 이번 업데이트에서는 버그가 수정되어 이제 패킷이 여러 영역의 영향을 받지 않습니다.