🥇 nftables 1.0.7 প্যাকেট ফিল্টার রিলিজ

প্যাকেট ফিল্টার nftables 1.0.7 প্রকাশ করা হয়েছে, IPv4, IPv6, ARP এবং নেটওয়ার্ক ব্রিজ (iptables, ip6table, arptables এবং ebtables প্রতিস্থাপনের লক্ষ্যে) জন্য প্যাকেট ফিল্টারিং ইন্টারফেস একত্রিত করে। nftables প্যাকেজের মধ্যে প্যাকেট ফিল্টার উপাদান রয়েছে যা ব্যবহারকারীর জায়গায় চলে, যখন কার্নেল-স্তরের কাজ nf_tables সাবসিস্টেম দ্বারা উপলব্ধ করা হয়, যা 3.13 প্রকাশের পর থেকে Linux কার্নেলের অংশ। কার্নেল স্তর শুধুমাত্র একটি জেনেরিক প্রোটোকল-স্বাধীন ইন্টারফেস প্রদান করে যা প্যাকেট থেকে ডেটা আহরণ, ডেটা অপারেশন এবং প্রবাহ নিয়ন্ত্রণের জন্য মৌলিক ফাংশন প্রদান করে।

ফিল্টারিং নিয়মগুলি নিজেরাই এবং প্রোটোকল-নির্দিষ্ট হ্যান্ডলারগুলি ব্যবহারকারী-স্পেস বাইটকোডে সংকলিত হয়, তারপরে এই বাইটকোডটি নেটলিংক ইন্টারফেস ব্যবহার করে কার্নেলে লোড করা হয় এবং BPF (বার্কলে প্যাকেট ফিল্টার) সদৃশ একটি বিশেষ ভার্চুয়াল মেশিনে কার্নেলে কার্যকর করা হয়। এই পদ্ধতিটি কার্নেল স্তরে চলমান ফিল্টারিং কোডের আকার উল্লেখযোগ্যভাবে হ্রাস করা এবং পার্সিং নিয়মের সমস্ত ফাংশন এবং প্রোটোকলগুলির সাথে কাজ করার যুক্তিকে ব্যবহারকারীর জায়গায় স্থানান্তর করা সম্ভব করে তোলে।

অব্যবস্থাপনা:

Linux kernel 6.2+ চালিত সিস্টেমগুলির জন্য, vxlan, geneve, gre, এবং gretap প্রোটোকল ম্যাপিং-এর জন্য সমর্থন যোগ করা হয়েছে, যা সহজ অভিব্যক্তিগুলিকে এনক্যাপসুলেটেড প্যাকেটে হেডার চেক করার অনুমতি দেয়। উদাহরণস্বরূপ, VxLAN থেকে একটি নেস্টেড প্যাকেটের শিরোনামে আইপি ঠিকানা পরীক্ষা করতে, আপনি এখন নিয়মগুলি ব্যবহার করতে পারেন (প্রথমে VxLAN হেডারটিকে ডি-এনক্যাপসুলেট করার প্রয়োজন ছাড়াই এবং ফিল্টারটিকে vxlan0 ইন্টারফেসে আবদ্ধ করতে হবে): ... udp dport 4789 vxlan ip protocol udp ... udp dport 4789 vxlan ip saddr 1.2.3.0. 24/4789 ... udp dport 1.2.3.4 vxlan ip saddr . vxlan ip daddr { 4.3.2.1 . XNUMX}
একটি সেট-তালিকা উপাদানের আংশিক মুছে ফেলার পরে অবশিষ্টাংশের স্বয়ংক্রিয়ভাবে একত্রিতকরণের জন্য সমর্থন কার্যকর করা হয়েছে, যা আপনাকে বিদ্যমান পরিসর থেকে একটি উপাদান বা একটি পরিসরের অংশ মুছে ফেলতে দেয় (আগে, একটি পরিসর শুধুমাত্র সম্পূর্ণরূপে মুছে ফেলা যেত)। উদাহরণস্বরূপ, 25-24 এবং 30-40 রেঞ্জ সহ একটি সেট তালিকা থেকে উপাদান 50 সরানোর পরে, তালিকাটি 24, 26-30 এবং 40-50 থাকবে। স্বয়ংক্রিয়ভাবে কাজ করার জন্য প্রয়োজনীয় সংশোধনগুলি 5.10+ কার্নেলের স্থিতিশীল শাখাগুলির রক্ষণাবেক্ষণ রিলিজে দেওয়া হবে। # nft তালিকা নিয়ম সেট টেবিল ip x { set y { typeof tcp dport পতাকা ব্যবধান স্বয়ংক্রিয় মার্জ উপাদান = { 24-30, 40-50 } } } # nft উপাদান মুছে ফেলুন ip xy { 25 } # nft তালিকা নিয়ম সেট টেবিল ip x { সেট y { প্রকার tcp dport পতাকা ব্যবধান স্বয়ংক্রিয়-মার্জ উপাদান = { 24, 26-30, 40-50 } }
ঠিকানা অনুবাদ (NAT) ম্যাপ করার সময় পরিচিতি এবং ব্যাপ্তি ব্যবহারের অনুমতি দেয়। টেবিল ip nat { চেইন প্রিরাউটিং { টাইপ nat হুক প্রিরাউটিং অগ্রাধিকার dstnat; নীতি গ্রহণ; dnat থেকে ip daddr. tcp dport মানচিত্র { 10.1.1.136 . 80: 1.1.2.69। 1024, 10.1.1.10-10.1.1.20। 8888-8889: 1.1.2.69। 2048-2049 } অবিরাম } }
"শেষ" অভিব্যক্তির জন্য সমর্থন যোগ করা হয়েছে, যা আপনাকে একটি নিয়ম উপাদান বা সেট তালিকার শেষ ব্যবহারের সময় খুঁজে বের করতে দেয়। বৈশিষ্ট্যটি Linux কার্নেল 5.14 থেকে শুরু করে সমর্থিত। টেবিল ip x { set y { type of ip daddr. tcp dport আকার 65535 পতাকা গতিশীল, টাইমআউট শেষ সময়সীমা 1h } চেইন z { টাইপ ফিল্টার হুক আউটপুট অগ্রাধিকার ফিল্টার; নীতি গ্রহণ; আপডেট করুন @y { ip daddr. tcp dport } } } # nft তালিকা সেট ip xy টেবিল ip x { সেট y { ip daddr এর প্রকার। tcp dport সাইজ 65535 পতাকা গতিশীল, টাইমআউট লাস্ট টাইমআউট 1h উপাদান = {172.217.17.14। 443 সর্বশেষ ব্যবহৃত 1s591ms টাইমআউট 1h মেয়াদ শেষ হবে 59m58s409ms, 172.67.69.19। 443 সর্বশেষ ব্যবহৃত 4s636ms টাইমআউট 1h মেয়াদ শেষ হবে 59m55s364ms, 142.250.201.72। 443 সর্বশেষ ব্যবহৃত 4s748ms টাইমআউট 1h মেয়াদ শেষ হবে 59m55s252ms, 172.67.70.134। 443 সর্বশেষ ব্যবহৃত 4s688ms টাইমআউট 1h মেয়াদ শেষ হবে 59m55s312ms, 35.241.9.150 443 সর্বশেষ ব্যবহৃত 5s204ms টাইমআউট 1h মেয়াদ শেষ হবে 59m54s796ms, 138.201.122.174। 443 সর্বশেষ ব্যবহৃত 4s537ms টাইমআউট 1h মেয়াদ শেষ হবে 59m55s463ms, 34.160.144.191। 443 সর্বশেষ ব্যবহৃত 5s205ms টাইমআউট 1h মেয়াদ শেষ হবে 59m54s795ms, 130.211.23.194। 443 সর্বশেষ ব্যবহৃত 4s436ms টাইমআউট 1h মেয়াদ শেষ হবে 59m55s564ms } }
সেট তালিকায় কোটা সংজ্ঞায়িত করার ক্ষমতা যোগ করা হয়েছে। উদাহরণস্বরূপ, প্রতিটি টার্গেট আইপি অ্যাড্রেসের জন্য ট্রাফিক কোটা নির্ধারণ করতে, আপনি নির্দিষ্ট করতে পারেন: টেবিল netdev x { set y { typeof ip daddr size 65535 quota over 10000 mbytes } chain y { type filter hook egress device "eth0" অগ্রাধিকার ফিল্টার; নীতি গ্রহণ; ip daddr @y ড্রপ } } # nft এলিমেন্ট যোগ করুন inet xy { 8.8.8.8 } # ping -c 2 8.8.8.8 # nft তালিকা রুলসেট টেবিল netdev x { set y { type ipv4_addr সাইজ 65535 কোটা 10000 mbytes = 8.8.8.8 উপাদানের উপরে। 10000 কোটা 196 মেবাইটের বেশি ব্যবহৃত 0 বাইট } } চেইন y { টাইপ ফিল্টার হুক ইগ্রেস ডিভাইস "ethXNUMX" অগ্রাধিকার ফিল্টার; নীতি গ্রহণ; ip daddr @y ড্রপ } }
সেট তালিকায় ধ্রুবক ব্যবহার অনুমোদিত। উদাহরণস্বরূপ, তালিকা কী হিসাবে গন্তব্য ঠিকানা এবং VLAN ID ব্যবহার করার সময়, আপনি সরাসরি VLAN নম্বর নির্দিষ্ট করতে পারেন (daddr. 123): টেবিল netdev t { set s { typeof ether saddr . vlan আইডি আকার 2048 পতাকা গতিশীল, টাইমআউট টাইমআউট 1m } চেইন c { টাইপ ফিল্টার হুক ইনগ্রেস ডিভাইস eth0 অগ্রাধিকার 0; নীতি গ্রহণ; ইথার প্রকার!= 8021q আপডেট @s { ether daddr. 123 } কাউন্টার } }
নিঃশর্তভাবে অবজেক্ট মুছে ফেলার জন্য একটি নতুন "destroy" কমান্ড যোগ করা হয়েছে (ডিলিট কমান্ডের বিপরীতে, এটি একটি অনুপস্থিত বস্তু মুছে ফেলার চেষ্টা করার সময় ENOENT তৈরি করে না)। কাজ করার জন্য কমপক্ষে Linux কার্নেল 6.3-rc প্রয়োজন। টেবিল আইপি ফিল্টার ধ্বংস করুন

উত্স: opennet.ru

nftables প্যাকেট ফিল্টার 1.0.7 রিলিজ

একটি মন্তব্য জুড়ুন উত্তর বাতিল