🥇 nftables 1.0.2 প্যাকেট ফিল্টার রিলিজ

প্যাকেট ফিল্টার nftables 1.0.2 প্রকাশ করা হয়েছে, IPv4, IPv6, ARP এবং নেটওয়ার্ক ব্রিজ (iptables, ip6table, arptables এবং ebtables প্রতিস্থাপনের লক্ষ্যে) জন্য প্যাকেট ফিল্টারিং ইন্টারফেস একত্রিত করে। nftables 1.0.2 রিলিজের জন্য প্রয়োজনীয় পরিবর্তনগুলি Linux kernel 5.17-rc-এ অন্তর্ভুক্ত করা হয়েছে।

nftables প্যাকেজের মধ্যে প্যাকেট ফিল্টার উপাদান রয়েছে যা ব্যবহারকারীর স্থানে চলে, যখন কার্নেল স্তরটি nf_tables সাবসিস্টেম দ্বারা উপলব্ধ করা হয়, যা 3.13 প্রকাশের পর থেকে Linux কার্নেলের অংশ। কার্নেল স্তরে, শুধুমাত্র একটি জেনেরিক প্রোটোকল-স্বাধীন ইন্টারফেস প্রদান করা হয় যা প্যাকেট থেকে ডেটা আহরণ, ডেটার উপর ক্রিয়াকলাপ সম্পাদন এবং প্রবাহ নিয়ন্ত্রণের জন্য মৌলিক ফাংশন প্রদান করে।

ফিল্টারিং নিয়মগুলি নিজেরাই এবং প্রোটোকল-নির্দিষ্ট হ্যান্ডলারগুলি ব্যবহারকারী-স্পেস বাইটকোডে সংকলিত হয়, তারপরে এই বাইটকোডটি নেটলিংক ইন্টারফেস ব্যবহার করে কার্নেলে লোড করা হয় এবং BPF (বার্কলে প্যাকেট ফিল্টার) সদৃশ একটি বিশেষ ভার্চুয়াল মেশিনে কার্নেলে কার্যকর করা হয়। এই পদ্ধতিটি কার্নেল স্তরে চলমান ফিল্টারিং কোডের আকার উল্লেখযোগ্যভাবে হ্রাস করা এবং পার্সিং নিয়মের সমস্ত ফাংশন এবং প্রোটোকলগুলির সাথে কাজ করার যুক্তিকে ব্যবহারকারীর জায়গায় স্থানান্তর করা সম্ভব করে তোলে।

প্রধান উদ্ভাবন:

একটি নিয়ম অপ্টিমাইজেশান মোড যোগ করা হয়েছে, নতুন "-o" ("--অপ্টিমাইজ") বিকল্পটি ব্যবহার করে সক্রিয় করা হয়েছে, যা বাস্তবে লোড না করেই রুলসেট ফাইলে পরিবর্তন চেক এবং অপ্টিমাইজ করতে "--চেক" বিকল্পের সাথে মিলিত হতে পারে। . অপ্টিমাইজেশান আপনাকে অনুরূপ নিয়মগুলিকে একত্রিত করার অনুমতি দেয়, উদাহরণস্বরূপ, নিয়মগুলি: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 স্বীকার করুন meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 ip saddr.1.1.1.1 daddr.2.2.2.2 স্বীকার করুন .2.2.2.2 ip saddr 3.3.3.3 ip daddr XNUMX ড্রপ গ্রহণ করুন
মেটা iifname এ একত্রিত করা হবে। আইপি সদর। ip daddr {eth1. 1.1.1.1. 2.2.2.3, eth1। 1.1.1.2। 2.2.2.5} আইপি সদর গ্রহণ করুন। ip daddr vmap { 1.1.1.1 2.2.2.2 : গ্রহণ করুন, 2.2.2.2। 3.3.3.3 : ড্রপ }

উদাহরণ ব্যবহার: # nft -c -o -f ruleset.test মার্জিং: ruleset.nft:16:3-37: ip daddr 192.168.0.1 counter accept ruleset.nft:17:3-37: ip daddr 192.168.0.2 counter accept Ruleset.nft:18:3-37: ip daddr 192.168.0.3 পাল্টা গ্রহন করে: ip daddr { 192.168.0.1, 192.168.0.2, 192.168.0.3 } কাউন্টার প্যাকেট 0 বাইট 0 গ্রহণ
সেট তালিকাগুলি ip এবং tcp বিকল্পগুলির পাশাপাশি sctp খণ্ডগুলি নির্দিষ্ট করার ক্ষমতা প্রয়োগ করে: সেট s5 { typeof ip option ra value উপাদান = { 1, 1024 } } সেট s7 { typeof sctp chunk init num-inbound-streams উপাদান = { 1, 4 } } চেইন c5 { ip option ra value @s5 accept } চেইন c7 { sctp খণ্ড শুরু num-inbound-streams @s7 accept }
TCP বিকল্পগুলির জন্য সমর্থন যোগ করা হয়েছে fastopen, md5sig এবং mptcp.
ম্যাপিং-এ mp-tcp সাবটাইপ ব্যবহার করার জন্য সমর্থন যোগ করা হয়েছে: tcp বিকল্প mptcp সাবটাইপ 1
উন্নত কার্নেল-সাইড ফিল্টারিং কোড।
ফ্লোটেবলে এখন JSON ফর্ম্যাটের জন্য পূর্ণ সমর্থন রয়েছে।
ইথারনেট ফ্রেম ম্যাচিং অপারেশনে "প্রত্যাখ্যান" অ্যাকশন ব্যবহার করার ক্ষমতা প্রদান করা হয়েছে। ইথার সদর aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 প্রত্যাখ্যান

উত্স: opennet.ru

nftables প্যাকেট ফিল্টার 1.0.2 রিলিজ

একটি মন্তব্য জুড়ুন উত্তর বাতিল