nftables প্যাকেট ফিল্টার 0.9.1 রিলিজ

উন্নয়নের এক বছর পর উপস্থাপিত প্যাকেট ফিল্টার রিলিজ nftables 0.9.1, IPv6, IPv4, ARP এবং নেটওয়ার্ক ব্রিজগুলির জন্য প্যাকেট ফিল্টারিং ইন্টারফেসগুলিকে একত্রিত করে iptables, ip6table, arptables এবং ebtables-এর প্রতিস্থাপন হিসাবে বিকাশ করা হচ্ছে। nftables প্যাকেজ প্যাকেট ফিল্টার উপাদানগুলি অন্তর্ভুক্ত করে যেগুলি ব্যবহারকারীর জায়গায় চলে, যখন কার্নেল-স্তরের কাজ nf_tables সাবসিস্টেম দ্বারা উপলব্ধ করা হয়, যা 3.13 প্রকাশের পর থেকে Linux কার্নেলের অংশ।

কার্নেল স্তর শুধুমাত্র একটি জেনেরিক প্রোটোকল-স্বাধীন ইন্টারফেস প্রদান করে যা প্যাকেট থেকে ডেটা আহরণ, ডেটা অপারেশন এবং প্রবাহ নিয়ন্ত্রণের জন্য মৌলিক ফাংশন প্রদান করে।
ফিল্টারিং লজিক নিজেই এবং প্রোটোকল-নির্দিষ্ট হ্যান্ডলারগুলি ইউজার স্পেসে বাইটকোডে সংকলিত হয়, তারপরে এই বাইটকোডটি নেটলিংক ইন্টারফেস ব্যবহার করে কার্নেলে লোড করা হয় এবং বিপিএফ (বার্কলে প্যাকেট ফিল্টার) এর স্মরণ করিয়ে দেওয়া একটি বিশেষ ভার্চুয়াল মেশিনে কার্যকর করা হয়। এই পদ্ধতিটি আপনাকে কার্নেল স্তরে চলমান ফিল্টারিং কোডের আকার উল্লেখযোগ্যভাবে হ্রাস করতে এবং প্রোটোকলগুলির সাথে কাজ করার জন্য পার্সিং নিয়ম এবং যুক্তিবিদ্যার সমস্ত ফাংশনগুলিকে ব্যবহারকারীর জায়গায় স্থানান্তর করতে দেয়।

প্রধান উদ্ভাবন:

• IPsec সমর্থন, প্যাকেট, IPsec অনুরোধ আইডি, এবং SPI (সিকিউরিটি প্যারামিটার ইনডেক্স) ট্যাগের উপর ভিত্তি করে টানেল ঠিকানা মেলার অনুমতি দেয়। উদাহরণ স্বরূপ,

  ... আইপি সদরে ipsec 192.168.1.0/24
  ... ipsec in spi 1-65536

  কোনো রুট IPsec টানেলের মধ্য দিয়ে যায় কিনা তাও পরীক্ষা করা সম্ভব। উদাহরণস্বরূপ, IPSec এর মাধ্যমে নয় ট্র্যাফিক ব্লক করতে:

  … ফিল্টার আউটপুট rt ipsec অনুপস্থিত ড্রপ

• IGMP (ইন্টারনেট গ্রুপ ম্যানেজমেন্ট প্রোটোকল) এর জন্য সমর্থন। উদাহরণস্বরূপ, আপনি ইনকামিং IGMP গ্রুপ সদস্যতার অনুরোধগুলি বাতিল করতে একটি নিয়ম ব্যবহার করতে পারেন

  nft যোগ নিয়ম netdev foo বার igmp টাইপ মেম্বারশিপ-কোয়েরি কাউন্টার ড্রপ

• ট্রানজিশন চেইন (জাম্প/গোটো) সংজ্ঞায়িত করতে ভেরিয়েবল ব্যবহার করার সম্ভাবনা। উদাহরণ স্বরূপ:

  dest = ber সংজ্ঞায়িত করুন
  নিয়ম যোগ করুন ip foo বার জাম্প $dest

• হেডারে টিটিএল মানের উপর ভিত্তি করে অপারেটিং সিস্টেম (ওএস ফিঙ্গারপ্রিন্ট) সনাক্ত করতে মাস্কের জন্য সমর্থন। উদাহরণস্বরূপ, প্রেরক ওএসের উপর ভিত্তি করে প্যাকেটগুলি চিহ্নিত করতে, আপনি কমান্ডটি ব্যবহার করতে পারেন:

  ... মেটা মার্ক সেট osf ttl স্কিপ নাম মানচিত্র { "Linux" : 0x1,
  "উইন্ডোজ": 0x2,
  "MacOS": 0x3,
  "অজানা" : 0x0 }
  ... osf ttl স্কিপ সংস্করণ "Linux:4.20"

• প্রেরকের ARP ঠিকানা এবং টার্গেট সিস্টেমের IPv4 ঠিকানার সাথে মিল করার ক্ষমতা। উদাহরণস্বরূপ, 192.168.2.1 ঠিকানা থেকে পাঠানো ARP প্যাকেটের কাউন্টার বাড়ানোর জন্য, আপনি নিম্নলিখিত নিয়মটি ব্যবহার করতে পারেন:

  টেবিল arp x {
  চেইন y {
  টাইপ ফিল্টার হুক ইনপুট অগ্রাধিকার ফিল্টার; নীতি গ্রহণ;
  আরপি সদর আইপি 192.168.2.1 কাউন্টার প্যাকেট 1 বাইট 46
  }
  }

• একটি প্রক্সি (tproxy) মাধ্যমে অনুরোধের স্বচ্ছ ফরওয়ার্ডিং জন্য সমর্থন। উদাহরণস্বরূপ, পোর্ট 80 এ প্রক্সি পোর্ট 8080 এ কল রিডাইরেক্ট করতে:

  টেবিল ip x {
  চেইন y {
  টাইপ ফিল্টার হুক প্রিরুটিং অগ্রাধিকার -150; নীতি গ্রহণ;
  tcp dport 80 tproxy থেকে :8080
  }
  }

• SO_MARK মোডে setsockopt() এর মাধ্যমে সেট চিহ্ন আরও পাওয়ার ক্ষমতা সহ সকেট চিহ্নিত করার জন্য সমর্থন। উদাহরণ স্বরূপ:

  টেবিল inet x {
  চেইন y {
  টাইপ ফিল্টার হুক প্রিরুটিং অগ্রাধিকার -150; নীতি গ্রহণ;
  tcp dport 8080 মার্ক সেট সকেট চিহ্ন
  }
  }

• চেইনগুলির জন্য অগ্রাধিকার পাঠ্য নাম নির্দিষ্ট করার জন্য সমর্থন। উদাহরণ স্বরূপ:

  nft চেইন যোগ করুন ip x raw { টাইপ ফিল্টার হুক প্রিরুটিং অগ্রাধিকার কাঁচা; }
  nft চেইন যোগ করুন ip x ফিল্টার { টাইপ ফিল্টার হুক প্রিরুটিং অগ্রাধিকার ফিল্টার; }
  nft চেইন যোগ করুন ip x filter_later { টাইপ ফিল্টার হুক প্রিরুটিং অগ্রাধিকার ফিল্টার + 10; }

• SELinux ট্যাগের জন্য সমর্থন (Secmark)। উদাহরণস্বরূপ, একটি SELinux প্রসঙ্গে "sshtag" ট্যাগ সংজ্ঞায়িত করতে, আপনি চালাতে পারেন:

  nft যোগ করুন secmark inet ফিল্টার sshtag "system_u:object_r:ssh_server_packet_t:s0"

  এবং তারপর নিয়মে এই লেবেলটি ব্যবহার করুন:

  nft যোগ করুন নিয়ম inet ফিল্টার ইনপুট tcp dport 22 মেটা secmark সেট "sshtag"

  nft যোগ করুন মানচিত্র inet ফিল্টার secmapping { type inet_service : secmark; }
  nft যোগ করুন উপাদান inet ফিল্টার সেকম্যাপিং { 22 : "sshtag" }
  nft যোগ করুন নিয়ম inet ফিল্টার ইনপুট মেটা secmark সেট tcp dport মানচিত্র @secmapping

• টেক্সট আকারে প্রোটোকলগুলিতে নির্ধারিত পোর্টগুলি নির্দিষ্ট করার ক্ষমতা, যেমন সেগুলি /etc/services ফাইলে সংজ্ঞায়িত করা হয়েছে। উদাহরণ স্বরূপ:

  nft নিয়ম xy tcp dport "ssh" যোগ করুন
  nft তালিকা নিয়ম সেট -l
  টেবিল x {
  চেইন y {
  ...
  tcp dport "ssh"
  }
  }

• নেটওয়ার্ক ইন্টারফেসের ধরন পরীক্ষা করার ক্ষমতা। উদাহরণ স্বরূপ:

  নিয়ম যোগ করুন inet raw prerouting meta iifkind "vrf" স্বীকার করুন

• সুস্পষ্টভাবে "গতিশীল" পতাকা নির্দিষ্ট করে সেটের বিষয়বস্তু গতিশীলভাবে আপডেট করার জন্য উন্নত সমর্থন। উদাহরণস্বরূপ, উৎস ঠিকানা যোগ করতে সেট "s" আপডেট করতে এবং 30 সেকেন্ডের জন্য কোনো প্যাকেট না থাকলে এন্ট্রি রিসেট করতে:

  টেবিল x যোগ করুন
  সেট xs যোগ করুন {টাইপ করুন ipv4_addr; আকার 128; সময়সীমা 30s; পতাকা গতিশীল; }
  চেইন xy যোগ করুন {টাইপ ফিল্টার হুক ইনপুট অগ্রাধিকার 0; }
  নিয়ম xy আপডেট যোগ করুন @s { ip saddr }

• একটি পৃথক টাইমআউট শর্ত সেট করার ক্ষমতা। উদাহরণস্বরূপ, 8888 পোর্টে আগত প্যাকেটগুলির জন্য ডিফল্ট টাইমআউট ওভাররাইড করতে, আপনি নির্দিষ্ট করতে পারেন:

  টেবিল আইপি ফিল্টার {
  ct সময়সীমা আক্রমনাত্মক-tcp {
  প্রোটোকল tcp;
  l3proto ip;
  নীতি = {স্থাপিত: 100, ক্লোজ_ওয়েট: 4, বন্ধ: 4}
  }
  চেইন আউটপুট {
  ...
  tcp dport 8888 ct টাইমআউট সেট "আক্রমনাত্মক-tcp"
  }
  }

• inet পরিবারের জন্য NAT সমর্থন:

  টেবিল inet nat {
  ...
  ip6 daddr dead::2::1 dnat to dead:2::99
  }

• উন্নত টাইপো ত্রুটি রিপোর্টিং:

  nft চেইন ফিল্টার পরীক্ষা যোগ করুন

  ত্রুটি: এই ধরনের কোনো ফাইল বা ডিরেক্টরি নেই; আপনি কি ফ্যামিলি আইপিতে টেবিল "ফিল্টার" বলতে চান?
  চেইন ফিল্টার পরীক্ষা যোগ করুন
  ^^^^^^

• সেটে ইন্টারফেসের নাম নির্দিষ্ট করার ক্ষমতা:

  সেট sc {
  inet_service টাইপ করুন। ifname
  উপাদান = { "ssh"। "eth0" }
  }

• আপডেট করা ফ্লোটেবল নিয়ম সিনট্যাক্স:

  nft টেবিল x যোগ করুন
  nft যোগ করুন ফ্লোটেবল x ft { হুক ইনগ্রেস অগ্রাধিকার 0; ডিভাইস = {eth0, wlan0}; }
  ...
  nft যোগ করুন নিয়ম x ফরওয়ার্ড আইপি প্রোটোকল { tcp, udp } প্রবাহ যোগ করুন @ft

• উন্নত JSON সমর্থন।

উত্স: opennet.ru