🥇nftables প্যাকেট ফিল্টার 0.9.9 প্রকাশিত হয়েছে

nftables 0.9.9 প্যাকেট ফিল্টারটি প্রকাশ করা হয়েছে। এটি IPv4, IPv6, ARP, এবং নেটওয়ার্ক ব্রিজের জন্য প্যাকেট ফিল্টারিং ইন্টারফেসগুলোকে একীভূত করে (যা iptables, ip6table, arptables, এবং ebtables-এর প্রতিস্থাপন হিসেবে কাজ করবে)। এর সাথে থাকা libnftnl 1.2.0 লাইব্রেরিটিও একই সাথে প্রকাশ করা হয়েছে, যা nf_tables সাবসিস্টেমের সাথে যোগাযোগের জন্য একটি নিম্ন-স্তরের API প্রদান করে। nftables 0.9.9-এর জন্য প্রয়োজনীয় পরিবর্তনগুলো কার্নেলে অন্তর্ভুক্ত করা হয়েছে। Linux ৫.১৩-আরসি১।

nftables প্যাকেজটিতে ইউজার স্পেসে কর্মরত প্যাকেট ফিল্টার উপাদানগুলো থাকে, অন্যদিকে কার্নেল-স্তরের কাজ nf_tables সাবসিস্টেম দ্বারা সম্পন্ন হয়, যা কার্নেলেরই একটি অংশ। Linux রিলিজ ৩.১৩ থেকে, কার্নেল স্তরে কেবল একটি জেনেরিক প্রোটোকল-নিরপেক্ষ ইন্টারফেস প্রদান করা হয়, যা প্যাকেট থেকে ডেটা নিষ্কাশন, ডেটা অপারেশন সম্পাদন এবং ফ্লো কন্ট্রোলের জন্য মৌলিক কার্যকারিতা সরবরাহ করে।

ফিল্টারিং নিয়মগুলি এবং প্রোটোকল-নির্দিষ্ট হ্যান্ডলারগুলি ব্যবহারকারীর স্থানে বাইটকোডে সংকলিত হয়, তারপরে এই বাইটকোডটি নেটলিংক ইন্টারফেস ব্যবহার করে কার্নেলে লোড করা হয় এবং একটি বিশেষ পদ্ধতিতে কার্নেলে কার্যকর করা হয়। ভার্চুয়াল মেশিন, BPF (বার্কলে প্যাকেট ফিল্টার) এর কথা মনে করিয়ে দেয়। এই পদ্ধতিটি কার্নেল স্তরে চলমান ফিল্টারিং কোডের আকার উল্লেখযোগ্যভাবে হ্রাস করার অনুমতি দেয় এবং সমস্ত নিয়ম পার্সিং এবং প্রোটোকল লজিককে ব্যবহারকারীর স্থানে স্থানান্তর করে।

প্রধান উদ্ভাবন:

নেটওয়ার্ক অ্যাডাপ্টারের দিকে ফ্লোটেবল প্রসেসিং সরানোর ক্ষমতা 'অফলোড' পতাকা ব্যবহার করে সক্রিয় করা হয়েছে। ফ্লোটেবল হল প্যাকেট পুনঃনির্দেশের পথকে অপ্টিমাইজ করার জন্য একটি প্রক্রিয়া, যেখানে সমস্ত নিয়ম প্রক্রিয়াকরণ চেইনের সম্পূর্ণ উত্তরণ শুধুমাত্র প্রথম প্যাকেটে প্রয়োগ করা হয় এবং প্রবাহের অন্যান্য সমস্ত প্যাকেট সরাসরি ফরোয়ার্ড করা হয়। টেবিল ip গ্লোবাল { ফ্লোটেবল f { হুক ইনগ্রেস অগ্রাধিকার ফিল্টার + 1 ডিভাইস = { lan3, lan0, wan } ফ্ল্যাগ অফলোড } চেইন ফরোয়ার্ড { টাইপ ফিল্টার হুক ফরোয়ার্ড অগ্রাধিকার ফিল্টার; নীতি গ্রহণ; ip প্রোটোকল { tcp, udp } ফ্লো অ্যাড @f } চেইন পোস্ট { টাইপ ন্যাট হুক পোস্টরুটিং অগ্রাধিকার ফিল্টার; নীতি গ্রহণ; oifname "ওয়ান" মাস্কেরেড } }
একটি প্রক্রিয়া দ্বারা টেবিলের একচেটিয়া ব্যবহার নিশ্চিত করতে একটি টেবিলে মালিকের পতাকা সংযুক্ত করার জন্য সমর্থন যোগ করা হয়েছে৷ যখন একটি প্রক্রিয়া সমাপ্ত হয়, তার সাথে যুক্ত টেবিলটি স্বয়ংক্রিয়ভাবে মুছে ফেলা হয়। প্রক্রিয়া সম্পর্কে তথ্য একটি মন্তব্য আকারে নিয়ম ডাম্প প্রদর্শিত হয়: টেবিল ip x { # progname nft পতাকা মালিক চেইন y { টাইপ ফিল্টার হুক ইনপুট অগ্রাধিকার ফিল্টার; নীতি গ্রহণ; কাউন্টার প্যাকেট 1 বাইট 309} }
IEEE 802.1ad স্পেসিফিকেশন (VLAN স্ট্যাকিং বা QinQ) এর জন্য সমর্থন যোগ করা হয়েছে, যা একক ইথারনেট ফ্রেমে একাধিক VLAN ট্যাগ প্রতিস্থাপনের জন্য একটি উপায় সংজ্ঞায়িত করে। উদাহরণস্বরূপ, বহিরাগত ইথারনেট ফ্রেম 8021ad এবং vlan id=342 এর ধরন পরীক্ষা করতে, আপনি নির্মাণ ব্যবহার করতে পারেন ... ইথার টাইপ করুন 802.1ad vlan id 342 ইথারনেট ফ্রেম 8021ad/vlan id=1, নেস্টেড 802.1 এর বহিরাগত প্রকার পরীক্ষা করতে q/vlan id=2 এবং আরও আইপি প্যাকেট এনক্যাপসুলেশন: ... ইথার টাইপ 8021ad vlan id 1 vlan টাইপ 8021q vlan id 2 vlan টাইপ আইপি কাউন্টার
ইউনিফাইড হায়ারার্কি cgroups v2 ব্যবহার করে সম্পদ পরিচালনার জন্য সমর্থন যোগ করা হয়েছে। cgroups v2 এবং v1 এর মধ্যে মূল পার্থক্য হল CPU রিসোর্স বরাদ্দ করার জন্য, মেমরি খরচ নিয়ন্ত্রণ করার জন্য এবং I/O-এর জন্য আলাদা শ্রেণীবিন্যাস না করে সব ধরনের রিসোর্সের জন্য একটি সাধারণ cgroups হায়ারার্কি ব্যবহার করা। উদাহরণস্বরূপ, প্রথম স্তরের cgroupv2-এ একটি সকেটের পূর্বপুরুষ "system.slice" মাস্কের সাথে মেলে কিনা তা পরীক্ষা করতে, আপনি নির্মাণটি ব্যবহার করতে পারেন: ... সকেট cgroupv2 স্তর 1 "system.slice"
SCTP প্যাকেটের উপাদানগুলো যাচাই করার সুবিধা যোগ করা হয়েছে (কার্যক্রম পরিচালনার জন্য প্রয়োজনীয় কার্যকারিতা কার্নেলে প্রদর্শিত হবে) Linux ৫.১৪)। উদাহরণস্বরূপ, একটি প্যাকেটে 'data' টাইপ এবং 'type' ফিল্ড সহ একটি চাঙ্ক আছে কিনা তা পরীক্ষা করতে: … sctp চাঙ্ক ডেটা বিদ্যমান … sctp চাঙ্ক ডেটা টাইপ 0
"-f" পতাকা ব্যবহার করে প্রায় দুইবার নিয়ম লোডিং অপারেশনটি ত্বরান্বিত করা হয়েছে। নিয়মের তালিকার আউটপুটও ত্বরান্বিত হয়েছে।
পতাকা বিট সেট করা আছে কিনা তা পরীক্ষা করার জন্য একটি কমপ্যাক্ট ফর্ম প্রদান করা হয়েছে। উদাহরণস্বরূপ, snat এবং dnat স্ট্যাটাস বিট সেট করা নেই তা পরীক্ষা করতে, আপনি উল্লেখ করতে পারেন: ... ct স্থিতি ! snat,dnat বিটমাস্ক-এ সিন বিট সেট করা আছে কিনা তা পরীক্ষা করুন: ... tcp ফ্ল্যাগ syn/syn,ack বিটমাস্ক-এ ফিন এবং প্রথম বিট সেট করা নেই কিনা তা পরীক্ষা করুন: ... tcp পতাকা! = fin,rst/syn,ack,fin,rst
সেট/ম্যাপের প্রকারের সংজ্ঞায় "রায়" কীওয়ার্ডকে অনুমতি দিন: মানচিত্র xm { typeof iifname যোগ করুন। আইপি প্রোটোকল তম ডিপোর্ট : রায় ;}

উত্স: opennet.ru

nftables প্যাকেট ফিল্টার 0.9.9 রিলিজ

ProHoster