4.4. 网络

iproute rebase 到版本 6.2.0

iproute 软件包已升级到上游版本 6.2.0，与之前的版本相比，它提供了很多改进和 bug 修复。最显著的更改有：

默认 nftables 服务配置的安全改进

此增强将 do_masquerade 链添加到 /etc/sysconfig/nftables/nat.nft 文件中的默认 nftables 服务配置中。这降低了端口影子攻击的风险，这在 CVE-2021-3773 中进行了描述。do_masquerade 链中的第一个规则检测到合适的数据包，并强制实施源端口随机化，以减少端口影子攻击的风险。

NetworkManager 支持 no-aaaa DNS 选项

现在，您可以通过抑制由 stub 解析器生成的 AAAA 查询，使用 no-aaaa 选项在受管主机上配置 DNS 设置。在以前的版本中，没有选项来抑制 stub 解析器生成的 AAAA 查询，包括由基于 NSS 的接口（如 getaddrinfo ）触发的 AAAA 查找；只有 DNS 查找受到影响。有了这个增强，您可以使用 nmcli 工具禁用 IPv6 解析。重启 NetworkManager 服务后，no-aaaa 设置会反映在 /etc/resolv.conf 文件中，并具有对 DNS 查找的额外控制。

nm-cloud-setup 工具现在支持 IMDSv2 配置

用户可以使用 nm-cloud-setup 工具配置带有实例元数据服务版本 2 (IMDSv2)的 AWS Red Hat Enterprise Linux EC2 实例。要遵守改进的安全性，其限制对 EC2 元数据和新功能未经授权的访问，需要 AWS 和红帽服务间的集成来提供高级功能。此增强使 nm-cloud-setup 工具能够获取并保存 IMDSv2 令牌，验证 EC2 环境，并使用安全 IMDSv2 令牌检索有关可用接口和 IP 配置的信息。

libnftnl 软件包 rebase 到版本 1.2.2

到内核 nf_tables 子系统的 Netlink API (libnftnl)软件包已更新。主要变化和增强包括：