ProHoster > ጦማር > የኢንተርኔት ዜና > nftables ፓኬት ማጣሪያ 1.0.2 መለቀቅ

nftables ፓኬት ማጣሪያ 1.0.2 መለቀቅ

የአይፒቭ4፣ IPv6፣ ARP እና የኔትወርክ ድልድዮችን የፓኬት ማጣሪያ በይነገጾች የሚያጣምር የፓኬት ማጣሪያ መሣሪያ nftables 1.0.2 ተለቋል። iptables፣ ip6table፣ arptables እና ebtables ለመተካት ያለመ ነው። ለnftables 1.0.2 የሚያስፈልጉት ለውጦች በሊኑክስ ከርነል 5.17-rc ውስጥ ተካተዋል።

የ nftables ጥቅል በተጠቃሚ ቦታ ውስጥ የሚሰሩ የፓኬት ማጣሪያ ክፍሎችን ያካትታል፣ የከርነል ደረጃ ደግሞ በ nf_tables ንዑስ ሲስተም ነው የቀረበው፣ 3.13 ከተለቀቀ በኋላ የሊኑክስ ከርነል አካል ነው። በከርነል ደረጃ፣ መረጃን ከፓኬቶች ለማውጣት፣በመረጃ ላይ ስራዎችን ለመስራት እና ፍሰትን ለመቆጣጠር መሰረታዊ ተግባራትን የሚሰጥ አጠቃላይ ፕሮቶኮል-ገለልተኛ በይነገጽ ብቻ ነው የሚቀርበው።

የማጣሪያው ደንቦች እራሳቸው እና ፕሮቶኮል-ተኮር ተቆጣጣሪዎች በተጠቃሚ ቦታ ውስጥ ወደ ባይትኮድ ይሰባሰባሉ፣ ከዚያ በኋላ ይህ ባይትኮድ በኔትሊንክ በይነገጽ በመጠቀም ወደ ኪነል ውስጥ ይጫናል እና በልዩ ሁኔታ በኪነል ውስጥ ይፈጸማል ምናባዊ ማሽን, BPF (የበርክሌይ ፓኬት ማጣሪያዎች) የሚያስታውስ። ይህ አካሄድ በከርነል ደረጃ የሚሰራውን የማጣሪያ ኮድ መጠን በከፍተኛ ሁኔታ ለመቀነስ ያስችላል እና ሁሉንም የደንብ ትንተና እና የፕሮቶኮል ሎጂክ ወደ ተጠቃሚ ቦታ ያንቀሳቅሳል።

ዋና ፈጠራዎች፡-

  • የደንብ ማመቻቸት ሁነታን አክሏል፣ በአዲሱ "-o" ("--optimize") አማራጭ ነቅቷል፣ ይህም ከ"--check" አማራጭ ጋር ተጣምሮ የደንብ ስብስብ ፋይል ለውጦችን በትክክል ሳይጭኑት ሊያመቻች ይችላል። ማመቻቸት ተመሳሳይ ደንቦችን ማዋሃድ ያስችላል፣ ለምሳሌ፡ meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 accept meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 accept ip saddr 1.1.1.1 ip daddr 2.2.2.2 accept ip saddr 2.2.2.2 accept ip saddr 2.2.2.2 ip daddr 3.3.3.3 drop

    ወደ ሜታ iifname ይዋሃዳል። ip saddr። ip daddr { eth1. 1.1.1.1. 2.2.2.3፣ eth1. 1.1.1.2 . 2.2.2.5 } ip saddrን ተቀበል። ip daddr vmap { 1.1.1.1 . 2.2.2.2 : ተቀበል፣ 2.2.2.2 . 3.3.3.3 : ጣል }

    የአጠቃቀም ምሳሌ፡ # nft -c -o -f ruleset.test ውህደት፡ ruleset.nft:16:3-37፡ ip daddr 192.168.0.1 ቆጣሪን መቀበል ruleset.nft:17:3-37፡ ip daddr 192.168.0.2 ቆጣሪን መቀበል ruleset.nft:18:3-37፡ ip daddr 192.168.0.3 ቆጣሪን መቀበል ወደ፡ ip daddr { 192.168.0.1፣ 192.168.0.2፣ 192.168.0.3 } ቆጣሪ ፓኬቶች 0 ባይት 0 መቀበል

  • የዝርዝሮች ስብስብ አሁን የአይፒ እና የTCP አማራጮችን እንዲሁም የSCTP ክፍፍሎችን መግለጽ ያስችላል፡ set s5 { typeof ip አማራጭ ra value elements = { 1, 1024 } } set s7 { typeof sctp chunk init num-inbound-streams elements = { 1, 4 } } chain c5 { ip option ra value @s5 accept } chain c7 { sctp chunk init num-inbound-streams @s7 accept }
  • ለ TCP አማራጮች fastopen፣ md5sig እና mptcp ድጋፍ ታክሏል።
  • በካርታዎች ውስጥ የmp-tcp ንዑስ አይነትን ለመጠቀም ድጋፍ ታክሏል፡ tcp option mptcp ንዑስ አይነት 1
  • የተሻሻለ የከርነል-ጎን የማጣሪያ ኮድ።
  • Flowtable አሁን የJSON ቅርጸትን ሙሉ በሙሉ ይደግፋል።
  • በኤተርኔት ፍሬም ማዛመጃ ስራዎች ውስጥ "ውድቅ" የሚለውን እርምጃ የመጠቀም ችሎታ ተጀምሯል። ether saddr aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 ውድቅ አድርግ

ምንጭ: opennet.ru