የፓኬት ማጣሪያ nftables 1.0.7 ታትሟል፣ ለ IPv4፣ IPv6፣ ARP እና የአውታረ መረብ ድልድዮች የፓኬት ማጣሪያ በይነገጾችን አንድ የሚያደርግ (አይፓብሌ፣ ip6table፣ arptables እና ebtables ለመተካት ያለመ)። የ nftables ጥቅል በተጠቃሚ ቦታ ውስጥ የሚሰሩ የፓኬት ማጣሪያ ክፍሎችን ያካትታል፣ የከርነል ደረጃ ስራው ደግሞ በ nf_tables ንዑስ ሲስተም የቀረበ ሲሆን 3.13 ከተለቀቀ በኋላ የሊኑክስ ከርነል አካል ነው። የከርነል ደረጃ ከፓኬቶች መረጃን ለማውጣት፣ የውሂብ ስራዎችን ለማከናወን እና ፍሰትን ለመቆጣጠር መሰረታዊ ተግባራትን የሚያቀርብ አጠቃላይ ፕሮቶኮል-ገለልተኛ በይነገጽ ብቻ ይሰጣል።
የማጣራት ደንቦቹ እራሳቸው እና ፕሮቶኮል-ተኮር ተቆጣጣሪዎች በተጠቃሚ-ስፔስ ባይትኮድ ውስጥ ይሰበሰባሉ, ከዚያ በኋላ ይህ ባይት ኮድ የ Netlink በይነገጽን በመጠቀም ወደ ከርነል ተጭኖ እና BPF (በርክሌይ ፓኬት ማጣሪያዎች) በሚመስል ልዩ ቨርቹዋል ማሽን ውስጥ በከርነል ውስጥ ይፈጸማል። ይህ አካሄድ በከርነል ደረጃ የሚሰራውን የማጣሪያ ኮድ መጠን በከፍተኛ ሁኔታ ለመቀነስ እና ሁሉንም የመተንተን ደንቦችን እና ከፕሮቶኮሎች ጋር አብሮ የመስራት አመክንዮ ወደ ተጠቃሚ ቦታ ለማንቀሳቀስ ያስችላል።
ዋና ለውጦች፡-
- ሊኑክስ ከርነል 6.2+ን ለሚያስኬዱ ስርዓቶች፣ የvxlan፣ ጂን፣ ግሬ እና ግሬታፕ ፕሮቶኮል ካርታዎች ድጋፍ ታክሏል፣ ይህም ቀላል አገላለጾች በታሸጉ እሽጎች ውስጥ ራስጌዎችን እንዲፈትሹ ያስችላቸዋል። ለምሳሌ የአይ ፒ አድራሻውን በቪክስላን በተሰራ ፓኬት ራስጌ ላይ ለማየት አሁን ህጎቹን መጠቀም ይችላሉ (በመጀመሪያ የVxLAN ራስጌን መፍታት እና ማጣሪያውን ከvxlan0 በይነገጽ ጋር ማሰር ሳያስፈልግ): ... udp dport 4789 vxlan ip ፕሮቶኮል udp ... udp dport 4789 vxlan ip saddr 1.2.3.0. 24/4789 ... udp dport 1.2.3.4 vxlan ip saddr . vxlan ip daddr {4.3.2.1 . XNUMX}
- የስብስብ ዝርዝር አካል በከፊል ከተሰረዘ በኋላ የቀረውን በራስ-ሰር ለማዋሃድ የሚደረግ ድጋፍ ተተግብሯል ፣ ይህም አንድን የተወሰነ ክፍል ወይም የክልል ነባር ክልል ለመሰረዝ ያስችልዎታል (ከዚህ ቀደም አንድ ክልል ሙሉ በሙሉ መሰረዝ ብቻ ነበር)። ለምሳሌ፣ ከ25-24 እና 30-40 ክልል ያለው ክፍል 50ን ከተዋቀረ ዝርዝር ውስጥ ካስወገዱ በኋላ ዝርዝሩ 24፣ 26-30 እና 40-50 ይቀራል። ወደ ሥራ አውቶሜርጅንግ የሚያስፈልጉት ጥገናዎች በ 5.10+ የከርነል ቋሚ ቅርንጫፎች የጥገና ልቀቶች ውስጥ ይቀርባሉ. # nft list ruleset table ip x { set y { typeof tcp dport flags interval auto-merge elements = { 24-30, 40-50} } } # nft delete element ip xy { 25 } # nft list lawset table ip x { አዘጋጅ y {የ tcp dport ባንዲራዎች የጊዜ ክፍተት በራስ-ማዋሃድ አባሎች = {24, 26-30, 40-50}} }
- የአድራሻ ትርጉም (NAT) ሲሰራ እውቂያዎችን እና ክልሎችን መጠቀም ይፈቅዳል። ሠንጠረዥ ip nat { ሰንሰለት ፕሪሮውት { አይነት nat hook prerouting ቅድሚያ dstnat; ፖሊሲ መቀበል; dnat ወደ ip daddr. tcp dport ካርታ {10.1.1.136 . 80፡ 1.1.2.69. 1024, 10.1.1.10-10.1.1.20. 8888-8889፡ 1.1.2.69. 2048-2049} ጽናት }}
- ለ “የመጨረሻው” አገላለጽ የተጨመረ ድጋፍ፣ ይህም የአንድ ደንብ አባል ወይም የቅንብር ዝርዝር የመጨረሻ አጠቃቀም ጊዜን ለማወቅ ያስችላል። ባህሪው ከሊኑክስ ከርነል 5.14 ጀምሮ ይደገፋል። ሠንጠረዥ ip x { ስብስብ y { አይነት ip daddr . tcp dport መጠን 65535 ባንዲራዎች ተለዋዋጭ፣የመጨረሻ ጊዜ ማብቂያ 1ሰ} ሰንሰለት z {አይነት ማጣሪያ መንጠቆ ውፅዓት ቅድሚያ ማጣሪያ; ፖሊሲ መቀበል; አዘምን @y { ip daddr . tcp dport } } } # nft ዝርዝር አዘጋጅ ip xy table ip x {set y { typeof ip daddr . tcp dport መጠን 65535 ባንዲራዎች ተለዋዋጭ፣የመጨረሻ ጊዜ አልቋል 1ሰአ ክፍሎች = {172.217.17.14 . 443 ለመጨረሻ ጊዜ ጥቅም ላይ የዋለ 1s591ሚሴ የጊዜ ማብቂያ 1ሰአት ጊዜው አልፎበታል 59m58s409ms፣ 172.67.69.19 . 443 ለመጨረሻ ጊዜ ጥቅም ላይ የዋለ 4s636ሚሴ ጊዜ ማብቂያ 1ሰአት ጊዜው አልፎበታል 59m55s364ms፣ 142.250.201.72 443 ለመጨረሻ ጊዜ ጥቅም ላይ የዋለው 4s748ሚሴ የእረፍት ጊዜ 1ሰዓት ጊዜው አልፎበታል 59m55s252ms፣ 172.67.70.134 . 443 ለመጨረሻ ጊዜ ጥቅም ላይ የዋለው 4s688ሚሴ የእረፍት ጊዜ 1ሰዓት ጊዜው አልፎበታል 59m55s312ms፣ 35.241.9.150 . 443 ለመጨረሻ ጊዜ ጥቅም ላይ የዋለው 5s204ms የጊዜ ማብቂያ 1ሰዓት ጊዜው አልፎበታል 59m54s796ms፣ 138.201.122.174 . 443 ለመጨረሻ ጊዜ ጥቅም ላይ የዋለው 4s537ሚሴ የእረፍት ጊዜ 1ሰአት ጊዜው አልፎበታል 59m55s463ms፣ 34.160.144.191 . 443 ለመጨረሻ ጊዜ ጥቅም ላይ የዋለው 5s205ms የጊዜ ማብቂያ 1ሰዓት ጊዜው አልፎበታል 59m54s795ms፣ 130.211.23.194 . 443 ለመጨረሻ ጊዜ ጥቅም ላይ የዋለው 4s436ሚሴ የእረፍት ጊዜ 1 ሰአት ያበቃል 59m55s564ms}}}
- በተዘጋጁ ዝርዝሮች ውስጥ ኮታዎችን የመግለጽ ችሎታ ታክሏል። ለምሳሌ ለእያንዳንዱ የዒላማ አይፒ አድራሻ የትራፊክ ኮታ ለመወሰን፡ ሠንጠረዥ netdev x { set y { typeof ip daddr size 65535 ኮታ ከ 10000 mbytes በላይ } ሰንሰለት y { አይነት ማጣሪያ መንጠቆ egress መሣሪያ "eth0" ቅድሚያ ማጣሪያ; ፖሊሲ መቀበል; ip daddr @y drop }} # nft add element inet xy {8.8.8.8 } # ping -c 2 8.8.8.8 # nft list ruleset table netdev x { set y {አይነት ipv4_addr መጠን 65535 ኮታ ከ10000 mbytes.8.8.8.8 በላይ። 10000 ኮታ ከ196 ሜባ በላይ ጥቅም ላይ የዋለ 0 ባይት}} ሰንሰለት y {አይነት ማጣሪያ መንጠቆ ኢግሬስ መሣሪያ “ethXNUMX” ቅድሚያ ማጣሪያ; ፖሊሲ መቀበል; ip daddr @y drop } }
- በተዘጋጁ ዝርዝሮች ውስጥ ቋሚዎችን መጠቀም ይፈቀዳል. ለምሳሌ የመዳረሻ አድራሻውን እና VLAN መታወቂያውን እንደ ዝርዝር ቁልፍ ሲጠቀሙ የVLAN ቁጥርን (daddr. 123): table netdev t {set s { typeof ether saddr . የቪላን መታወቂያ መጠን 2048 ባንዲራዎች ተለዋዋጭ ፣የጊዜ ማብቂያ ጊዜ 1 ሜትር } ሰንሰለት ሐ { አይነት ማጣሪያ መንጠቆ ማስገቢያ መሣሪያ eth0 ቅድሚያ 0; ፖሊሲ መቀበል; ether type!= 8021q update @s { ether daddr . 123} ቆጣሪ}}
- ነገሮችን ያለምንም ቅድመ ሁኔታ ለመሰረዝ አዲስ የ"ማጥፋት" ትዕዛዝ ታክሏል (ከሰርዝ ትዕዛዝ በተለየ የጎደለ ነገርን ለመሰረዝ ሲሞክር ENOENTን አያመነጭም)። ለመስራት ቢያንስ ሊኑክስ ከርነል 6.3-rc ይፈልጋል። የጠረጴዛ አይ ፒ ማጣሪያን አጥፋ
ምንጭ: opennet.ru