nftables প্যাকেট ফিল্টার 1.0.0 রিলিজ

প্যাকেট ফিল্টার nftables 1.0.0 প্রকাশ করা হয়েছে, IPv4, IPv6, ARP এবং নেটওয়ার্ক ব্রিজ (iptables, ip6table, arptables এবং ebtables প্রতিস্থাপনের লক্ষ্যে) জন্য প্যাকেট ফিল্টারিং ইন্টারফেস একত্রিত করে। nftables 1.0.0 রিলিজের জন্য প্রয়োজনীয় পরিবর্তনগুলি Linux 5.13 কার্নেলে অন্তর্ভুক্ত করা হয়েছে। সংস্করণ সংখ্যার একটি উল্লেখযোগ্য পরিবর্তন কোনো মৌলিক পরিবর্তনের সাথে সম্পর্কিত নয়, তবে এটি দশমিক স্বরলিপিতে সংখ্যার ধারাবাহিক ধারাবাহিকতার ফলাফল (পূর্ববর্তী প্রকাশটি ছিল 0.9.9)।

nftables প্যাকেজের মধ্যে প্যাকেট ফিল্টার উপাদান রয়েছে যা ব্যবহারকারীর স্থানে চলে, যখন কার্নেল স্তরটি nf_tables সাবসিস্টেম দ্বারা উপলব্ধ করা হয়, যা 3.13 প্রকাশের পর থেকে Linux কার্নেলের অংশ। কার্নেল স্তরে, শুধুমাত্র একটি জেনেরিক প্রোটোকল-স্বাধীন ইন্টারফেস প্রদান করা হয় যা প্যাকেট থেকে ডেটা আহরণ, ডেটার উপর ক্রিয়াকলাপ সম্পাদন এবং প্রবাহ নিয়ন্ত্রণের জন্য মৌলিক ফাংশন প্রদান করে।

ফিল্টারিং নিয়মগুলি নিজেরাই এবং প্রোটোকল-নির্দিষ্ট হ্যান্ডলারগুলি ব্যবহারকারী-স্পেস বাইটকোডে সংকলিত হয়, তারপরে এই বাইটকোডটি নেটলিংক ইন্টারফেস ব্যবহার করে কার্নেলে লোড করা হয় এবং BPF (বার্কলে প্যাকেট ফিল্টার) সদৃশ একটি বিশেষ ভার্চুয়াল মেশিনে কার্নেলে কার্যকর করা হয়। এই পদ্ধতিটি কার্নেল স্তরে চলমান ফিল্টারিং কোডের আকার উল্লেখযোগ্যভাবে হ্রাস করা এবং পার্সিং নিয়মের সমস্ত ফাংশন এবং প্রোটোকলগুলির সাথে কাজ করার যুক্তিকে ব্যবহারকারীর জায়গায় স্থানান্তর করা সম্ভব করে তোলে।

প্রধান উদ্ভাবন:

• সেট তালিকায় “*” মাস্ক উপাদানটির জন্য সমর্থন যোগ করা হয়েছে, যা সেটে সংজ্ঞায়িত অন্যান্য উপাদানের অধীনে পড়ে না এমন কোনো প্যাকেজের জন্য ট্রিগার করা হয়। টেবিল x { মানচিত্র ব্লকলিস্ট { টাইপ ipv4_addr : রায় পতাকা ব্যবধান উপাদান = { 192.168.0.0/16 : স্বীকার করুন, 10.0.0.0/8 : স্বীকার করুন, * : ড্রপ } } চেইন y { টাইপ ফিল্টার হুক প্রিরুটিং অগ্রাধিকার 0; নীতি গ্রহণ; ip saddr vmap @blocklist } }
• "--define" বিকল্পটি ব্যবহার করে কমান্ড লাইন থেকে ভেরিয়েবল সংজ্ঞায়িত করা সম্ভব। # cat test.nft টেবিল netdev x { চেইন y { টাইপ ফিল্টার হুক ইনগ্রেস ডিভাইস = $dev অগ্রাধিকার 0; পলিসি ড্রপ; } } # nft — define dev="{ eth0, eth1 }" -f test.nft
• মানচিত্র তালিকায়, ধ্রুবক (স্টেটফুল) এক্সপ্রেশনের ব্যবহার অনুমোদিত: টেবিল ইনেট ফিল্টার { মানচিত্র পোর্টম্যাপ {টাইপ inet_service : রায় কাউন্টার উপাদান = { 22 কাউন্টার প্যাকেট 0 বাইট 0 : জাম্প ssh_ইনপুট, * কাউন্টার প্যাকেট 0 বাইট 0 : ড্রপ } } চেইন ssh_input { } চেইন wan_input { tcp dport vmap @portmap } চেইন প্রিরাউটিং { টাইপ ফিল্টার হুক প্রিরাউটিং অগ্রাধিকার কাঁচা; নীতি গ্রহণ; iif vmap { "lo" : জাম্প ওয়ান_ইনপুট } }
• একটি প্রদত্ত প্যাকেট পরিবারের জন্য হ্যান্ডলারদের একটি তালিকা প্রদর্শন করতে "লিস্ট হুক" কমান্ড যোগ করা হয়েছে: # nft তালিকা হুক আইপি ডিভাইস eth0 ফ্যামিলি আইপি { হুক ইনগ্রেস { +0000000010 চেইন নেটডেভ xy [nf_tables] +0000000300 চেইন inet mw [nf_tables in] { -0000000100 চেইন ip ab [nf_tables] +0000000300 চেইন inet mz [nf_tables] } হুক ফরোয়ার্ড { -0000000225 selinux_ipv4_forward 0000000000 চেইন ip ac [nf_tables]0000000225_4 outputs 0000000225_আউটপুট } হুক পোস্টরুটিং { +4 XNUMX selinux_ipvXNUMX_postroute } }
• কিউ ব্লকগুলি ঝাশ, সিমহ্যাশ এবং নুমজেন এক্সপ্রেশনগুলিকে ইউজার স্পেসে সারিগুলিতে প্যাকেটগুলি বিতরণ করার জন্য একত্রিত করার অনুমতি দেয়। … সারি থেকে সিমহ্যাশ মোড 65536 … সারি পতাকা বাইপাস থেকে নমজেন ইনক মোড 65536 … ঝাশ ওআইএফের সারি। মেটা মার্ক মোড 32 "সারি" ম্যাপ তালিকার সাথে একত্রিত করা যেতে পারে যাতে ইচ্ছামত কীগুলির উপর ভিত্তি করে ব্যবহারকারীর জায়গায় একটি সারি নির্বাচন করা যায়। ... সারি পতাকাগুলি oifname মানচিত্রের বাইপাস { "eth0" : 0, "pp0" : 2, "eth1" : 2 }
• বিভিন্ন মানচিত্রে একটি সেট তালিকা অন্তর্ভুক্ত করে এমন ভেরিয়েবলগুলিকে প্রসারিত করা সম্ভব। ইন্টারফেস সংজ্ঞায়িত করুন = { eth0, eth1 } টেবিল ip x { চেইন y { টাইপ ফিল্টার হুক ইনপুট অগ্রাধিকার 0; নীতি গ্রহণ; iifname vmap { lo : accept, $interfaces : drop } } } # nft -f x.nft # nft তালিকা নিয়ম সেট টেবিল ip x { চেইন y { টাইপ ফিল্টার হুক ইনপুট অগ্রাধিকার 0; নীতি গ্রহণ; iifname vmap { "lo" : স্বীকার করুন, "eth0" : drop, "eth1" : drop } }
• বিরতিতে vmaps (রায় মানচিত্র) একত্রিত করা অনুমোদিত: # nft নিয়ম xy tcp dport যোগ করুন। আইপি সদর ভিম্যাপ {1025-65535। 192.168.10.2 : স্বীকার করুন }
• NAT ম্যাপিংয়ের জন্য সরলীকৃত সিনট্যাক্স। ঠিকানার ব্যাপ্তি নির্দিষ্ট করার অনুমতি দেওয়া হয়েছে: ... snat to ip saddr মানচিত্র { 10.141.11.4 : 192.168.2.2-192.168.2.4 } বা স্পষ্ট আইপি ঠিকানা এবং পোর্টগুলি: ... dnat থেকে ip saddr মানচিত্র { 10.141.11.4. . 192.168.2.3 } বা আইপি রেঞ্জ এবং পোর্টের সমন্বয়: ... dnat থেকে ip saddr। tcp dport মানচিত্র { 80 192.168.1.2: 80-10.141.10.2 10.141.10.5-8888 }

উত্স: opennet.ru