nftables প্যাকেট ফিল্টার 0.9.4 রিলিজ

প্রকাশিত প্যাকেট ফিল্টার রিলিজ nftables 0.9.4, IPv6, IPv4, ARP এবং নেটওয়ার্ক ব্রিজগুলির জন্য প্যাকেট ফিল্টারিং ইন্টারফেস একত্রিত করে iptables, ip6table, arptables এবং ebtables-এর প্রতিস্থাপন হিসাবে বিকাশ করা হচ্ছে। nftables প্যাকেজ ব্যবহারকারী-স্পেস প্যাকেট ফিল্টার উপাদান অন্তর্ভুক্ত করে, যখন কার্নেল-স্তরের কাজ nf_tables সাবসিস্টেম দ্বারা উপলব্ধ করা হয়, যা 3.13 প্রকাশের পর থেকে Linux কার্নেলের অংশ। nftables 0.9.4 রিলিজের জন্য প্রয়োজনীয় পরিবর্তনগুলি ভবিষ্যতের কার্নেল শাখায় অন্তর্ভুক্ত করা হয়েছে লিনাক্স 5.6.

কার্নেল স্তর শুধুমাত্র একটি জেনেরিক প্রোটোকল-স্বাধীন ইন্টারফেস প্রদান করে যা প্যাকেট থেকে ডেটা আহরণ, ডেটা অপারেশন এবং প্রবাহ নিয়ন্ত্রণের জন্য মৌলিক ফাংশন প্রদান করে। ফিল্টারিং নিয়ম এবং প্রোটোকল-নির্দিষ্ট হ্যান্ডলারগুলি ব্যবহারকারীর স্থানের বাইটকোডে সংকলিত হয়, তারপরে এই বাইটকোডটি নেটলিংক ইন্টারফেস ব্যবহার করে কার্নেলে লোড করা হয় এবং BPF (বার্কলে প্যাকেট ফিল্টার) এর স্মরণ করিয়ে দেয় এমন একটি বিশেষ ভার্চুয়াল মেশিনে কার্নেলে কার্যকর করা হয়। এই পদ্ধতিটি আপনাকে কার্নেল স্তরে চলমান ফিল্টারিং কোডের আকার উল্লেখযোগ্যভাবে হ্রাস করতে এবং প্রোটোকলগুলির সাথে কাজ করার জন্য পার্সিং নিয়ম এবং যুক্তিবিদ্যার সমস্ত ফাংশনগুলিকে ইউজার স্পেসে স্থানান্তর করতে দেয়।

প্রধান উদ্ভাবন:

• সংযোগের রেঞ্জের জন্য সমর্থন (সংযুক্তি, ঠিকানার নির্দিষ্ট বান্ডিল এবং পোর্ট যা তুলনা সহজ করে)। উদাহরণস্বরূপ, একটি সেট "হোয়াইটলিস্ট" এর জন্য যার উপাদানগুলি একটি সংযুক্তি, "ব্যবধান" পতাকা নির্দিষ্ট করা ইঙ্গিত করবে যে সেটটি সংযুক্তিতে পরিসীমা অন্তর্ভুক্ত করতে পারে (সংযুক্তি "ipv4_addr. ipv4_addr. inet_service" এর জন্য আগে সঠিক তালিকা করা সম্ভব ছিল "192.168.10.35. 192.68.11.123" ফর্মের মিল এবং এখন আপনি "80-192.168.10.35-192.168.10.40-192.68.11.123.

  টেবিল ip foo {
  সাদা তালিকা সেট করুন {
  ipv4_addr টাইপ করুন। ipv4_addr. inet_service
  পতাকা ব্যবধান
  উপাদান = { 192.168.10.35-192.168.10.40। 192.68.11.123-192.168.11.125। 80}
  }

  চেইন বার {
  টাইপ ফিল্টার হুক prerouting অগ্রাধিকার ফিল্টার; পলিসি ড্রপ;
  আইপি সদর। ip daddr. tcp dport @শ্বেতবাদী স্বীকার করুন
  }
  }

• সেট এবং মানচিত্রের তালিকায়, "টাইপফ" নির্দেশিকা ব্যবহার করা সম্ভব, যা মিলিত হওয়ার সময় উপাদানটির বিন্যাস নির্ধারণ করে।
  উদাহরণস্বরূপ:

  টেবিল ip foo {
  সাদা তালিকা সেট করুন {
  আইপি সদরের প্রকার
  উপাদান = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
  }

  চেইন বার {
  টাইপ ফিল্টার হুক prerouting অগ্রাধিকার ফিল্টার; পলিসি ড্রপ;
  ip daddr @whitelist স্বীকার করুন
  }
  }

  টেবিল ip foo {
  মানচিত্র addr2mark {
  আইপি সদরের প্রকার: মেটা মার্ক
  উপাদান = { 192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
  }
  }

• NAT বাইন্ডিংগুলিতে যোগদান ব্যবহার করার ক্ষমতা যুক্ত করা হয়েছে, যা আপনাকে মানচিত্রের তালিকা বা নামযুক্ত সেটগুলির উপর ভিত্তি করে NAT রূপান্তর সংজ্ঞায়িত করার সময় একটি ঠিকানা এবং পোর্ট নির্দিষ্ট করতে দেয়:

  nft যোগ নিয়ম ip nat pre dnat ip addr. পোর্ট থেকে আইপি সদর মানচিত্র { 1.1.1.1 : 2.2.2.2 ত্রিশ}

  nft মানচিত্র যোগ করুন ip nat গন্তব্য { টাইপ করুন ipv4_addr. inet_service: ipv4_addr. inet_service \\; }
  nft যোগ নিয়ম ip nat pre dnat ip addr. আইপি সদর থেকে পোর্ট। টিসিপি ডিপোর্ট ম্যাপ @গন্তব্য

• নেটওয়ার্ক কার্ড দ্বারা সম্পাদিত কিছু ফিল্টারিং অপারেশন সহ হার্ডওয়্যার ত্বরণের জন্য সমর্থন। এথটুল ইউটিলিটি ("ethtool -K eth0 hw-tc-অফলোড অন") এর মাধ্যমে ত্বরণ সক্ষম করা হয়েছে, তারপরে এটি "অফলোড" পতাকা ব্যবহার করে মূল চেইনের জন্য nftables এ সক্রিয় করা হয়। লিনাক্স কার্নেল 5.6 ব্যবহার করার সময়, হেডার ফিল্ড ম্যাচিং এবং ইনকামিং ইন্টারফেস পরিদর্শনের জন্য হার্ডওয়্যার ত্বরণ সমর্থিত হয় প্রাপ্তি, বাতিল, ডুপ্লিকেট (ডুপ), এবং ফরওয়ার্ডিং (fwd) প্যাকেটের সাথে। নীচের উদাহরণে, 192.168.30.20 ঠিকানা থেকে প্যাকেট ড্রপ করার ক্রিয়াকলাপগুলি প্যাকেটগুলি কার্নেলে না দিয়ে নেটওয়ার্ক কার্ড স্তরে সঞ্চালিত হয়:

  # cat file.nft
  টেবিল netdev x {
  চেইন y {
  টাইপ ফিল্টার হুক ইনগ্রেস ডিভাইস eth0 অগ্রাধিকার 10; পতাকা অফলোড;
  আইপি সদর 192.168.30.20 ড্রপ
  }
  }
  # nft -f file.nft

• নিয়মে ত্রুটির অবস্থান সম্পর্কে উন্নত তথ্য।

  # nft মুছে ফেলার নিয়ম ip y z হ্যান্ডেল 7
  ত্রুটি: নিয়ম প্রক্রিয়া করা যায়নি: এই ধরনের কোনো ফাইল বা ডিরেক্টরি নেই
  নিয়ম ip y z হ্যান্ডেল 7 মুছে দিন
  ^

  # nft মুছে ফেলার নিয়ম ip x x হ্যান্ডেল 7
  ত্রুটি: নিয়ম প্রক্রিয়া করা যায়নি: এই ধরনের কোনো ফাইল বা ডিরেক্টরি নেই
  নিয়ম ip x x হ্যান্ডেল 7 মুছে দিন
  ^

  # nft টেবিল twst মুছে ফেলুন
  ত্রুটি: এই ধরনের কোনো ফাইল বা ডিরেক্টরি নেই; আপনি কি পারিবারিক আইপিতে টেবিল 'পরীক্ষা' বলতে চান?
  টেবিল twst মুছুন
  ^^^^

  প্রথম উদাহরণটি দেখায় যে টেবিল "y" সিস্টেমে নেই, দ্বিতীয়টি যে "7" হ্যান্ডলারটি অনুপস্থিত, এবং তৃতীয়টি যে টেবিলের নাম টাইপ করার সময় একটি টাইপো প্রম্পট প্রদর্শিত হয়৷

• "মেটা sdif" বা "meta sdifname" উল্লেখ করে স্লেভ ইন্টারফেস চেক করার জন্য সমর্থন যোগ করা হয়েছে:

  ... meta sdifname vrf1 ...

• ডান বা বাম স্থানান্তর অপারেশন জন্য সমর্থন যোগ করা হয়েছে. উদাহরণস্বরূপ, একটি বিদ্যমান প্যাকেট লেবেলকে 1 বিট বামে স্থানান্তর করতে এবং ছোট বিটটিকে 1 এ সেট করতে:

  … মেটা মার্ক সেট মেটা মার্ক lshift 1 বা 0x1 …

• বর্ধিত সংস্করণ তথ্য প্রদর্শনের জন্য "-V" বিকল্প কার্যকর করা হয়েছে।

  # nft -V
  nftables v0.9.4 (জিভ এ ফাইভ)
  cli:রিডলাইন
  json: হ্যাঁ
  minigmp: না
  libxtables: হ্যাঁ

• কমান্ড লাইন অপশন এখন কমান্ডের আগে নির্দিষ্ট করা আবশ্যক। উদাহরণস্বরূপ, আপনাকে "nft -a list ruleset" নির্দিষ্ট করতে হবে এবং "nft list ruleset -a" চালানোর ফলে একটি ত্রুটি দেখা দেবে।

  উত্স: opennet.ru