የፓኬት ማጣሪያ nftables 1.0.1 ታትሟል፣ የፓኬት ማጣሪያ በይነገጾችን ለIPv4፣ IPv6፣ ARP እና የአውታረ መረብ ድልድዮች (አይፒፕሌልስ፣ ip6table፣ arptables እና ebtables ለመተካት ያለመ)። ለ nftables 1.0.1 መልቀቅ የሚያስፈልጉት ለውጦች በሊኑክስ ከርነል 5.16-rc1 ውስጥ ተካትተዋል።
የ nftables ጥቅል በተጠቃሚ ቦታ ውስጥ የሚሰሩ የፓኬት ማጣሪያ ክፍሎችን ያካትታል፣ የከርነል ደረጃ ደግሞ በ nf_tables ንዑስ ሲስተም ነው የቀረበው፣ 3.13 ከተለቀቀ በኋላ የሊኑክስ ከርነል አካል ነው። በከርነል ደረጃ፣ መረጃን ከፓኬቶች ለማውጣት፣በመረጃ ላይ ስራዎችን ለመስራት እና ፍሰትን ለመቆጣጠር መሰረታዊ ተግባራትን የሚሰጥ አጠቃላይ ፕሮቶኮል-ገለልተኛ በይነገጽ ብቻ ነው የሚቀርበው።
የማጣራት ደንቦቹ እራሳቸው እና ፕሮቶኮል-ተኮር ተቆጣጣሪዎች በተጠቃሚ-ስፔስ ባይትኮድ ውስጥ ይሰበሰባሉ, ከዚያ በኋላ ይህ ባይት ኮድ የ Netlink በይነገጽን በመጠቀም ወደ ከርነል ተጭኖ እና BPF (በርክሌይ ፓኬት ማጣሪያዎች) በሚመስል ልዩ ቨርቹዋል ማሽን ውስጥ በከርነል ውስጥ ይፈጸማል። ይህ አካሄድ በከርነል ደረጃ የሚሰራውን የማጣሪያ ኮድ መጠን በከፍተኛ ሁኔታ ለመቀነስ እና ሁሉንም የመተንተን ደንቦችን እና ከፕሮቶኮሎች ጋር አብሮ የመስራት አመክንዮ ወደ ተጠቃሚ ቦታ ለማንቀሳቀስ ያስችላል።
ዋና ፈጠራዎች፡-
- ትላልቅ ስብስቦችን እና የካርታ ዝርዝሮችን በሚጫኑበት ጊዜ የማህደረ ትውስታ ፍጆታ ቀንሷል።
- የስብስብ እና የካርታ ዝርዝሮችን እንደገና መጫን ተፋጠነ።
- በትልቅ ደንብ ስብስቦች ውስጥ የተመረጡ ጠረጴዛዎች እና ሰንሰለቶች ውጤት ተፋጥኗል. ለምሳሌ የ"nft list ruleset" ትዕዛዝ በ100 ሺህ ረድፎች የደንቦችን ስብስብ ለማሳየት የሚፈጀው ጊዜ 3.049 ሰከንድ ሲሆን የናትና የማጣሪያ ሰንጠረዦችን ("nft list table nat", "nft list table filter" ብቻ ሲያወጣ) ”) ወደ 1.969 እና 0.697 ሰከንድ ይቀንሳል።
- በትልቅ ስብስብ እና በካርታ ዝርዝር ውስጥ ህጎችን ሲሰራ የጥያቄዎች አፈፃፀም በ"--terse" አማራጭ ተፋጥኗል።
- በኔትዴቭ ሰንሰለት (ኢግረስ መንጠቆ) ውስጥ ካለው የጭረት መቆጣጠሪያ ጋር በተመሳሳይ ደረጃ ከሚሰራው የ "ኢግሬስ" ሰንሰለት ውስጥ ትራፊክን ማጣራት ይቻላል, ማለትም. አሽከርካሪው ከከርነል አውታር ቁልል ፓኬት በሚቀበልበት ደረጃ ላይ። ሰንጠረዥ netdev ማጣሪያ {ሰንሰለት egress {አይነት ማጣሪያ መንጠቆ egress መሣሪያዎች = {eth0, eth1} ቅድሚያ 0; ሜታ ቅድሚያ አዘጋጅ ip saddr ካርታ {192.168.10.2፡ abcd፡2፣ 192.168.10.3፡ abcd፡3}}}
- በአንድ የተወሰነ ማካካሻ ላይ የባይቶች ራስጌ እና ይዘቶች ማዛመድ እና ማስተካከል ይፈቅዳል። # nft add ደንብ xy @ih,32,32 0x14000000 ቆጣሪ # nft አክል ደንብ xy @ih,32,32 አዘጋጅ 0x14000000 ቆጣሪ
ምንጭ: opennet.ru