🥇 nftables 0.9.9 প্যাকেট ফিল্টার রিলিজ

প্যাকেট ফিল্টার nftables 0.9.9 প্রকাশ করা হয়েছে, IPv4, IPv6, ARP এবং নেটওয়ার্ক ব্রিজ (iptables, ip6table, arptables এবং ebtables প্রতিস্থাপনের লক্ষ্যে) প্যাকেট ফিল্টারিং ইন্টারফেসগুলিকে একত্রিত করে। একই সময়ে, কম্প্যানিয়ন লাইব্রেরি libnftnl 1.2.0 প্রকাশ করা হয়েছিল, যা nf_tables সাবসিস্টেমের সাথে ইন্টারঅ্যাক্ট করার জন্য একটি নিম্ন-স্তরের API প্রদান করে। nftables 0.9.9 রিলিজের জন্য প্রয়োজনীয় পরিবর্তনগুলি Linux kernel 5.13-rc1-এ অন্তর্ভুক্ত করা হয়েছে।

nftables প্যাকেজের মধ্যে প্যাকেট ফিল্টার উপাদান রয়েছে যা ব্যবহারকারীর স্থানে চলে, যখন কার্নেল স্তরটি nf_tables সাবসিস্টেম দ্বারা উপলব্ধ করা হয়, যা 3.13 প্রকাশের পর থেকে Linux কার্নেলের অংশ। কার্নেল স্তরে, শুধুমাত্র একটি জেনেরিক প্রোটোকল-স্বাধীন ইন্টারফেস প্রদান করা হয় যা প্যাকেট থেকে ডেটা আহরণ, ডেটার উপর ক্রিয়াকলাপ সম্পাদন এবং প্রবাহ নিয়ন্ত্রণের জন্য মৌলিক ফাংশন প্রদান করে।

ফিল্টারিং নিয়মগুলি নিজেরাই এবং প্রোটোকল-নির্দিষ্ট হ্যান্ডলারগুলি ব্যবহারকারী-স্পেস বাইটকোডে সংকলিত হয়, তারপরে এই বাইটকোডটি নেটলিংক ইন্টারফেস ব্যবহার করে কার্নেলে লোড করা হয় এবং BPF (বার্কলে প্যাকেট ফিল্টার) সদৃশ একটি বিশেষ ভার্চুয়াল মেশিনে কার্নেলে কার্যকর করা হয়। এই পদ্ধতিটি কার্নেল স্তরে চলমান ফিল্টারিং কোডের আকার উল্লেখযোগ্যভাবে হ্রাস করা এবং পার্সিং নিয়মের সমস্ত ফাংশন এবং প্রোটোকলগুলির সাথে কাজ করার যুক্তিকে ব্যবহারকারীর জায়গায় স্থানান্তর করা সম্ভব করে তোলে।

প্রধান উদ্ভাবন:

নেটওয়ার্ক অ্যাডাপ্টারের দিকে ফ্লোটেবল প্রসেসিং সরানোর ক্ষমতা 'অফলোড' পতাকা ব্যবহার করে সক্রিয় করা হয়েছে। ফ্লোটেবল হল প্যাকেট পুনঃনির্দেশের পথকে অপ্টিমাইজ করার জন্য একটি প্রক্রিয়া, যেখানে সমস্ত নিয়ম প্রক্রিয়াকরণ চেইনের সম্পূর্ণ উত্তরণ শুধুমাত্র প্রথম প্যাকেটে প্রয়োগ করা হয় এবং প্রবাহের অন্যান্য সমস্ত প্যাকেট সরাসরি ফরোয়ার্ড করা হয়। টেবিল ip গ্লোবাল { ফ্লোটেবল f { হুক ইনগ্রেস অগ্রাধিকার ফিল্টার + 1 ডিভাইস = { lan3, lan0, wan } ফ্ল্যাগ অফলোড } চেইন ফরোয়ার্ড { টাইপ ফিল্টার হুক ফরোয়ার্ড অগ্রাধিকার ফিল্টার; নীতি গ্রহণ; ip প্রোটোকল { tcp, udp } ফ্লো অ্যাড @f } চেইন পোস্ট { টাইপ ন্যাট হুক পোস্টরুটিং অগ্রাধিকার ফিল্টার; নীতি গ্রহণ; oifname "ওয়ান" মাস্কেরেড } }
একটি প্রক্রিয়া দ্বারা টেবিলের একচেটিয়া ব্যবহার নিশ্চিত করতে একটি টেবিলে মালিকের পতাকা সংযুক্ত করার জন্য সমর্থন যোগ করা হয়েছে৷ যখন একটি প্রক্রিয়া সমাপ্ত হয়, তার সাথে যুক্ত টেবিলটি স্বয়ংক্রিয়ভাবে মুছে ফেলা হয়। প্রক্রিয়া সম্পর্কে তথ্য একটি মন্তব্য আকারে নিয়ম ডাম্প প্রদর্শিত হয়: টেবিল ip x { # progname nft পতাকা মালিক চেইন y { টাইপ ফিল্টার হুক ইনপুট অগ্রাধিকার ফিল্টার; নীতি গ্রহণ; কাউন্টার প্যাকেট 1 বাইট 309} }
IEEE 802.1ad স্পেসিফিকেশন (VLAN স্ট্যাকিং বা QinQ) এর জন্য সমর্থন যোগ করা হয়েছে, যা একক ইথারনেট ফ্রেমে একাধিক VLAN ট্যাগ প্রতিস্থাপনের জন্য একটি উপায় সংজ্ঞায়িত করে। উদাহরণস্বরূপ, বহিরাগত ইথারনেট ফ্রেম 8021ad এবং vlan id=342 এর ধরন পরীক্ষা করতে, আপনি নির্মাণ ব্যবহার করতে পারেন ... ইথার টাইপ করুন 802.1ad vlan id 342 ইথারনেট ফ্রেম 8021ad/vlan id=1, নেস্টেড 802.1 এর বহিরাগত প্রকার পরীক্ষা করতে q/vlan id=2 এবং আরও আইপি প্যাকেট এনক্যাপসুলেশন: ... ইথার টাইপ 8021ad vlan id 1 vlan টাইপ 8021q vlan id 2 vlan টাইপ আইপি কাউন্টার
ইউনিফাইড হায়ারার্কি cgroups v2 ব্যবহার করে সম্পদ পরিচালনার জন্য সমর্থন যোগ করা হয়েছে। cgroups v2 এবং v1 এর মধ্যে মূল পার্থক্য হল CPU রিসোর্স বরাদ্দ করার জন্য, মেমরি খরচ নিয়ন্ত্রণ করার জন্য এবং I/O-এর জন্য আলাদা শ্রেণীবিন্যাস না করে সব ধরনের রিসোর্সের জন্য একটি সাধারণ cgroups হায়ারার্কি ব্যবহার করা। উদাহরণস্বরূপ, প্রথম স্তরের cgroupv2-এ একটি সকেটের পূর্বপুরুষ "system.slice" মাস্কের সাথে মেলে কিনা তা পরীক্ষা করতে, আপনি নির্মাণটি ব্যবহার করতে পারেন: ... সকেট cgroupv2 স্তর 1 "system.slice"
SCTP প্যাকেটের উপাদান পরীক্ষা করার ক্ষমতা যোগ করা হয়েছে (এর জন্য প্রয়োজনীয় কার্যকারিতা Linux 5.14 কার্নেলে প্রদর্শিত হবে)। উদাহরণস্বরূপ, একটি প্যাকেটে 'ডেটা' টাইপ এবং ফিল্ড 'টাইপ' সহ একটি খণ্ড রয়েছে কিনা তা পরীক্ষা করতে: ... sctp খণ্ড ডেটা বিদ্যমান ... sctp খণ্ড ডেটা টাইপ 0
"-f" পতাকা ব্যবহার করে প্রায় দুইবার নিয়ম লোডিং অপারেশনটি ত্বরান্বিত করা হয়েছে। নিয়মের তালিকার আউটপুটও ত্বরান্বিত হয়েছে।
পতাকা বিট সেট করা আছে কিনা তা পরীক্ষা করার জন্য একটি কমপ্যাক্ট ফর্ম প্রদান করা হয়েছে। উদাহরণস্বরূপ, snat এবং dnat স্ট্যাটাস বিট সেট করা নেই তা পরীক্ষা করতে, আপনি উল্লেখ করতে পারেন: ... ct স্থিতি ! snat,dnat বিটমাস্ক-এ সিন বিট সেট করা আছে কিনা তা পরীক্ষা করুন: ... tcp ফ্ল্যাগ syn/syn,ack বিটমাস্ক-এ ফিন এবং প্রথম বিট সেট করা নেই কিনা তা পরীক্ষা করুন: ... tcp পতাকা! = fin,rst/syn,ack,fin,rst
সেট/ম্যাপের প্রকারের সংজ্ঞায় "রায়" কীওয়ার্ডকে অনুমতি দিন: মানচিত্র xm { typeof iifname যোগ করুন। আইপি প্রোটোকল তম ডিপোর্ট : রায় ;}

উত্স: opennet.ru

nftables প্যাকেট ফিল্টার 0.9.9 রিলিজ

একটি মন্তব্য জুড়ুন উত্তর বাতিল