ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > nftables ፓኬት ማጣሪያ 1.0.2 መለቀቅ

nftables ፓኬት ማጣሪያ 1.0.2 መለቀቅ

የ nftables 1.0.2 ፓኬት ማጣሪያ ታትሟል፣የፓኬት ማጣሪያ በይነገጾችን ለIPv4፣ IPv6፣ ARP እና የአውታረ መረብ ድልድዮች አንድ የሚያደርግ (የአይፒ ፕላስ፣ ip6table፣ arptables እና ebtables ለመተካት ያለመ)። ለ nftables 1.0.2 መልቀቅ የሚያስፈልጉ ለውጦች በሊኑክስ ከርነል 5.17-rc ውስጥ ተካትተዋል።

የ nftables ጥቅል በተጠቃሚ ቦታ ውስጥ የሚሰሩ የፓኬት ማጣሪያ ክፍሎችን ያካትታል፣ የከርነል ደረጃ ደግሞ በ nf_tables ንዑስ ሲስተም ነው የቀረበው፣ 3.13 ከተለቀቀ በኋላ የሊኑክስ ከርነል አካል ነው። በከርነል ደረጃ፣ መረጃን ከፓኬቶች ለማውጣት፣በመረጃ ላይ ስራዎችን ለመስራት እና ፍሰትን ለመቆጣጠር መሰረታዊ ተግባራትን የሚሰጥ አጠቃላይ ፕሮቶኮል-ገለልተኛ በይነገጽ ብቻ ነው የሚቀርበው።

የማጣራት ደንቦቹ እራሳቸው እና ፕሮቶኮል-ተኮር ተቆጣጣሪዎች በተጠቃሚ-ስፔስ ባይትኮድ ውስጥ ይሰበሰባሉ, ከዚያ በኋላ ይህ ባይት ኮድ የ Netlink በይነገጽን በመጠቀም ወደ ከርነል ተጭኖ እና BPF (በርክሌይ ፓኬት ማጣሪያዎች) በሚመስል ልዩ ቨርቹዋል ማሽን ውስጥ በከርነል ውስጥ ይፈጸማል። ይህ አካሄድ በከርነል ደረጃ የሚሰራውን የማጣሪያ ኮድ መጠን በከፍተኛ ሁኔታ ለመቀነስ እና ሁሉንም የመተንተን ደንቦችን እና ከፕሮቶኮሎች ጋር አብሮ የመስራት አመክንዮ ወደ ተጠቃሚ ቦታ ለማንቀሳቀስ ያስችላል።

ዋና ፈጠራዎች፡-

  • የደንቦች ማመቻቸት ሁነታ ተጨምሯል፣ በአዲስ የ"-o"("--optimize") አማራጭ ነቅቷል፣ ይህም ከ"--ቼክ" አማራጭ ጋር በማጣመር የሩልሴት ፋይሉን በትክክል ሳይጭኑ ለውጦችን ለማረጋገጥ እና ለማሻሻል። ማመቻቸት ተመሳሳይ ህጎችን ለማጣመር ይፈቅድልዎታል ፣ ለምሳሌ ፣ ህጎቹ: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 መቀበል meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 ip saddr 1.1.1.1 .2.2.2.2 ተቀበል ip saddr 2.2.2.2 ip daddr 3.3.3.3 drop

    ወደ ሜታ iifname ይዋሃዳል . ip saddr . ip daddr {eth1. 1.1.1.1. 2.2.2.3፣ eth1 . 1.1.1.2. 2.2.2.5} ip saddr ተቀበል። ip daddr vmap {1.1.1.1 . 2.2.2.2፡ ተቀበል፡ 2.2.2.2 . 3.3.3.3: መጣል

    የአጠቃቀም ምሳሌ፡ # nft -c -o -f ruleset.test ውህደት፡ ruleset.nft፡16፡3-37፡ ip daddr 192.168.0.1 ቆጣሪ መቀበል ruleset.nft፡17፡3-37፡ ip daddr 192.168.0.2 ቆጣሪ ተቀበል ruleset.nft:18:3-37: ip daddr 192.168.0.3 ቆጣሪ መቀበል ወደ: ip daddr {192.168.0.1, 192.168.0.2, 192.168.0.3} ቆጣሪ ፓኬቶች 0 ባይት 0 ተቀበል

  • Set-lists ip- እና tcp-optionsን እንዲሁም sctp chunksን የመግለጽ ችሎታን ይተገብራሉ፡ s5 አዘጋጅ {typeof ip option ra value elements = { 1, 1024} } set s7 { typeof sctp chunk init num-inbound-streams አባሎች = {1፣4}} ሰንሰለት c5 {የአይፒ አማራጭ ራ እሴት @s5 ተቀበል} ሰንሰለት c7 {sctp chunk init num-inbound-streams @s7 receive}
  • ለ fastopen፣ md5sig እና mptcp TCP አማራጮች ድጋፍ ታክሏል።
  • በካርታዎች ውስጥ mp-tcp ንዑስ ዓይነት ለመጠቀም ተጨማሪ ድጋፍ፡ tcp አማራጭ mptcp ንዑስ ዓይነት 1
  • የተሻሻለ የማጣሪያ ኮድ በከርነል በኩል ይሰራል።
  • Flowtable ለJSON ቅርጸት ሙሉ ድጋፍ አለው።
  • በኤተርኔት ፍሬም ማዛመጃ ክዋኔዎች ውስጥ የ"ውድቅ" እርምጃን የመጠቀም ችሎታ ተሰጥቷል። ether saddr aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 ውድቅ

ምንጭ: opennet.ru

አስተያየት ያክሉ