🥇Nftables Packet Filter 1.0.1 издание

Изданието на пакетния филтър nftables 1.0.1 беше публикувано, обединявайки интерфейсите за филтриране на пакети за IPv4, IPv6, ARP и мрежови мостове (насочени към замяна на iptables, ip6table, arptables и ebtables). Промените, необходими за работа на изданието nftables 1.0.1, са включени в ядрото на Linux 5.16-rc1.

Пакетът nftables включва компоненти за филтър на пакети, които работят в потребителското пространство, докато нивото на ядрото се предоставя от подсистемата nf_tables, която е част от ядрото на Linux от версия 3.13. На ниво ядро се предоставя само общ интерфейс, независим от протокол, който предоставя основни функции за извличане на данни от пакети, извършване на операции с данни и контролиране на потока.

Самите правила за филтриране и специфичните за протокола манипулатори се компилират в байт код на потребителското пространство, след което този байт код се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в ядрото в специална виртуална машина, наподобяваща BPF (Berkeley Packet Filters). Този подход прави възможно значително намаляване на размера на филтриращия код, работещ на ниво ядро, и преместване на всички функции на правилата за анализ и логиката на работа с протоколи в потребителското пространство.

Основни иновации:

Намалена консумация на памет при зареждане на големи списъци с набори и карти.
Презареждането на списъците с комплекти и карти е ускорено.
Извеждането на избрани таблици и вериги в големи набори от правила е ускорено. Например, времето за изпълнение на командата „nft list ruleset“ за показване на набор от правила със 100 хиляди реда е 3.049 секунди, а при извеждане само на nat и filter таблиците („nft list table nat“, „nft list table filter ”) се намалява до 1.969 и 0.697 секунди.
Изпълнението на заявки с опцията „--terse“ е ускорено при обработка на правила с големи списъци с набори и карти.
Възможно е да се филтрира трафик от веригата „egress“, който се обработва на същото ниво като манипулатора на изхода във веригата netdev (egress hook), т.е. на етапа, когато драйверът получава пакет от мрежовия стек на ядрото. таблица netdev филтър { верига изход { тип филтър кука изходни устройства = { eth0, eth1 } приоритет 0; meta priority set ip saddr map { 192.168.10.2 : abcd:2, 192.168.10.3 : abcd:3 } } }
Позволява съпоставяне и модифициране на байтове в заглавката и съдържанието на пакет при дадено отместване. # nft добавяне на правило xy @ih,32,32 0x14000000 брояч # nft добавяне на правило xy @ih,32,32 набор 0x14000000 брояч

Източник: opennet.ru

nftables пакетен филтър версия 1.0.1

Добавяне на нов коментар

nftables пакетен филтър версия 1.0.1

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар