IPv1.0.1, IPv4, ARP və şəbəkə körpüləri (iptables, ip6table, arptables və ebtables əvəz etmək məqsədi daşıyır) üçün paket filtrləmə interfeyslərini birləşdirən nftables 6 paket filtrinin buraxılışı nəşr edilmişdir. Nftables 1.0.1 buraxılışının işləməsi üçün tələb olunan dəyişikliklər Linux nüvəsi 5.16-rc1-ə daxil edilmişdir.
Nftables paketinə istifadəçi məkanında işləyən paket filtri komponentləri daxildir, nüvə səviyyəsi isə 3.13 buraxılışından bəri Linux nüvəsinin bir hissəsi olan nf_tables alt sistemi tərəfindən təmin edilir. Kernel səviyyəsində paketlərdən məlumatların çıxarılması, verilənlər üzərində əməliyyatların yerinə yetirilməsi və axını idarə etmək üçün əsas funksiyaları təmin edən yalnız ümumi protokoldan asılı olmayan interfeys təmin edilir.
Filtrləmə qaydalarının özləri və protokola xas işləyicilər istifadəçi məkanı bayt koduna tərtib edilir, bundan sonra bu bayt kodu Netlink interfeysindən istifadə edərək nüvəyə yüklənir və BPF-ə (Berkeley Paket Filtrləri) bənzəyən xüsusi virtual maşında nüvədə icra olunur. Bu yanaşma nüvə səviyyəsində işləyən filtrləmə kodunun ölçüsünü əhəmiyyətli dərəcədə azaltmağa və təhlil qaydaları və protokollarla işləmək məntiqinin bütün funksiyalarını istifadəçi sahəsinə köçürməyə imkan verir.
Əsas yeniliklər:
- Böyük dəstləri və xəritə siyahılarını yükləyərkən yaddaş istehlakı azaldı.
- Dəst və xəritə siyahılarının yenidən yüklənməsi sürətləndirilib.
- Böyük qayda dəstlərində seçilmiş cədvəllərin və zəncirlərin çıxışı sürətləndirilib. Məsələn, 100 min sətirdən ibarət qaydalar toplusunu göstərmək üçün “nft list ruleset” əmrinin icra müddəti 3.049 saniyədir və yalnız nat və filter cədvəllərini çıxararkən (“nft list table nat”, “nft list table filter”). ”) 1.969 və 0.697 saniyəyə endirilir.
- Böyük dəstlər və xəritə siyahıları ilə qaydaları emal edərkən “--terse” seçimi ilə sorğuların icrası sürətləndirilib.
- “Çıxış” zəncirindən trafiki süzgəcdən keçirmək mümkündür, bu, netdev zəncirində (çıxış çəngəl) çıxış işləyicisi ilə eyni səviyyədə işlənir, yəni. sürücünün nüvə şəbəkə yığınından paket qəbul etdiyi mərhələdə. cədvəl netdev filter { zəncir çıxışı { növü filter qarmaq çıxış cihazları = { eth0, eth1 } prioritet 0; meta prioritet dəsti ip saddr xəritəsi {192.168.10.2 : abcd:2, 192.168.10.3 : abcd:3 } }
- Başlıqdakı baytların və paketin məzmununun müəyyən bir ofsetdə uyğunlaşdırılmasına və dəyişdirilməsinə imkan verir. # nft əlavə etmə qaydası xy @ih,32,32 0x14000000 sayğac # nft əlavə qaydası xy @ih,32,32 set 0x14000000 sayğac
Mənbə: opennet.ru