nftables প্যাকেট ফিল্টার 1.0.6 রিলিজ

প্যাকেট ফিল্টার nftables 1.0.6 প্রকাশ করা হয়েছে, IPv4, IPv6, ARP এবং নেটওয়ার্ক ব্রিজ (iptables, ip6table, arptables এবং ebtables প্রতিস্থাপনের লক্ষ্যে) জন্য প্যাকেট ফিল্টারিং ইন্টারফেস একত্রিত করে। nftables প্যাকেজের মধ্যে প্যাকেট ফিল্টার উপাদান রয়েছে যা ব্যবহারকারীর জায়গায় চলে, যখন কার্নেল-স্তরের কাজ nf_tables সাবসিস্টেম দ্বারা উপলব্ধ করা হয়, যা 3.13 প্রকাশের পর থেকে Linux কার্নেলের অংশ। কার্নেল স্তর শুধুমাত্র একটি জেনেরিক প্রোটোকল-স্বাধীন ইন্টারফেস প্রদান করে যা প্যাকেট থেকে ডেটা আহরণ, ডেটা অপারেশন এবং প্রবাহ নিয়ন্ত্রণের জন্য মৌলিক ফাংশন প্রদান করে।

ফিল্টারিং নিয়মগুলি নিজেরাই এবং প্রোটোকল-নির্দিষ্ট হ্যান্ডলারগুলি ব্যবহারকারী-স্পেস বাইটকোডে সংকলিত হয়, তারপরে এই বাইটকোডটি নেটলিংক ইন্টারফেস ব্যবহার করে কার্নেলে লোড করা হয় এবং BPF (বার্কলে প্যাকেট ফিল্টার) সদৃশ একটি বিশেষ ভার্চুয়াল মেশিনে কার্নেলে কার্যকর করা হয়। এই পদ্ধতিটি কার্নেল স্তরে চলমান ফিল্টারিং কোডের আকার উল্লেখযোগ্যভাবে হ্রাস করা এবং পার্সিং নিয়মের সমস্ত ফাংশন এবং প্রোটোকলগুলির সাথে কাজ করার যুক্তিকে ব্যবহারকারীর জায়গায় স্থানান্তর করা সম্ভব করে তোলে।

অব্যবস্থাপনা:

• В оптимизаторе правил, вызываемом при указании опции «-o/—optimize», налажена автоматическая упаковка правил через их объединение и преобразование в map- и set-списки. Например, правила # cat ruleset.nft table ip x { chain y { type filter hook input priority filter; policy drop; meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 accept meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4 accept meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.3.0/24 accept meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.4.0-2.2.4.10 accept meta iifname eth2 ip saddr 1.1.1.3 ip daddr 2.2.2.5 accept } } после выполнения «nft -o -c -f ruleset.nft» будут преобразованы в следующим образом: ruleset.nft:4:17-74: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 accept ruleset.nft:5:17-74: meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4 accept ruleset.nft:6:17-77: meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.3.0/24 accept ruleset.nft:7:17-83: meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.4.0-2.2.4.10 accept ruleset.nft:8:17-74: meta iifname eth2 ip saddr 1.1.1.3 ip daddr 2.2.2.5 accept into: iifname . ip saddr . ip daddr { eth1 . 1.1.1.1 . 2.2.2.3, eth1 . 1.1.1.2 . 2.2.2.4, eth1 . 1.1.1.2 . 2.2.3.0/24, eth1 . 1.1.1.2 . 2.2.4.0-2.2.4.10, eth2 . 1.1.1.3 . 2.2.2.5 } accept
• Оптимизатор также может преобразовывать в более компактную форму правила, в которых уже используются простые set-списки, например правила: # cat ruleset.nft table ip filter { chain input { type filter hook input priority filter; policy drop; iifname «lo» accept ct state established,related accept comment «In traffic we originate, we trust» iifname «enp0s31f6» ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 udp sport 123 udp dport 32768-65535 accept iifname «enp0s31f6» ip saddr { 64.59.144.17, 64.59.150.133 } ip daddr 10.0.0.149 udp sport 53 udp dport 32768-65535 accept } } после выполнения «nft -o -c -f ruleset.nft» будут упакованы следующим образом: ruleset.nft:6:22-149: iifname «enp0s31f6» ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 udp sport 123 udp dport 32768-65535 accept ruleset.nft:7:22-143: iifname «enp0s31f6» ip saddr { 64.59.144.17, 64.59.150.133 } ip daddr 10.0.0.149 udp sport 53 udp dport 32768-65535 accept into: iifname . ip saddr . ip daddr . udp sport . udp dport { enp0s31f6 . 209.115.181.102 . 10.0.0.149 . 123 . 32768-65535, enp0s31f6 . 216.197.228.230 . 10.0.0.149 . 123 . 32768-65535, enp0s31f6 . 64.59.144.17 . 10.0.0.149 . 53 . 32768-65535, enp0s31f6 . 64.59.150.133 . 10.0.0.149 . 53 . 32768-65535 } accept
• Решена проблема с генерацией байткода для слияния интервалов, в которых применяются типы с разным порядком следования байтов, например IPv4 (сетевой порядок следования байтов) и meta mark (системный порядок следования байтов). table ip x { map w { typeof ip saddr . meta mark : verdict flags interval counter elements = { 127.0.0.1-127.0.0.4 . 0x123434-0xb00122 : accept, 192.168.0.10-192.168.1.20 . 0x0000aa00-0x0000aaff : accept, } } chain k { type filter hook input priority filter; policy drop; ip saddr . meta mark vmap @w } }
• Налажено сопоставления редких протоколов при использовании raw-выражений, например: meta l4proto 91 @th,400,16 0x0 accept
• Решены проблемы с включением правил с интервалами: insert rule x y tcp sport { 3478-3497, 16384-16387 } counter accept
• Улучшен API JSON, в котором появилась поддержка выражений в set- и map-списках.
• В расширениях к python-библиотеке nftables разрешена загрузка наборов правил для обработки в режиме проверки («-c») и добавлена поддержка внешнего определения переменных.
• В элементах set-списков разрешено добавление комментариев.
• В byte ratelimit разрешено указания нулевого значения.

উত্স: opennet.ru