Gipagawas na ang nftables 0.9.9 packet filter. Gihiusa niini ang mga interface sa packet filtering para sa IPv4, IPv6, ARP, ug mga network bridge (gitarget isip kapuli sa iptables, ip6table, arptables, ug ebtables). Ang kaubang libnftnl 1.2.0 library, nga naghatag og low-level API para sa interaksyon sa nf_tables subsystem, gipagawas na sa samang higayon. Ang mga pagbag-o nga gikinahanglan para sa nftables 0.9.9 gi-incorporate na sa kernel. Linux 5.13-rc1.
Ang nftables package adunay mga packet filter components nga naglihok sa user space, samtang ang kernel-level nga trabaho gihatag sa nf_tables subsystem, nga kabahin sa kernel. Linux Sukad sa pagpagawas sa 3.13, usa lamang ka generic protocol-independent interface ang gihatag sa kernel level, nga naghatag og basic functionality para sa pagkuha og data gikan sa mga packet, paghimo og data operations, ug flow control.
Ang mga lagda sa pagsala mismo ug ang mga handler nga espesipiko sa protocol gi-compile ngadto sa bytecode sa user space, pagkahuman niini kini nga bytecode gikarga sa kernel gamit ang Netlink interface ug gipatuman sa kernel sa usa ka espesyal nga paagi. virtual nga makina, susama sa BPF (Berkeley Packet Filters). Kini nga pamaagi nagtugot sa usa ka dakong pagkunhod sa gidak-on sa filtering code nga nagdagan sa lebel sa kernel ug nagbalhin sa tanan nga rule parsing ug protocol logic ngadto sa user space.
Panguna nga mga inobasyon:
- Ang abilidad sa pagbalhin sa flowtable nga pagproseso ngadto sa network adapter nga bahin gipatuman, nga magamit gamit ang 'offload' nga bandila. Ang Flowtable usa ka mekanismo sa pag-optimize sa agianan sa packet redirection, diin ang kompleto nga pagpasa sa tanan nga mga kadena sa pagproseso sa lagda magamit lamang sa unang pakete, ug ang tanan nga uban nga mga pakete sa dagan direkta nga gipasa. table ip global { flowtable f { hook ingress priority filter + 1 device = { lan3, lan0, wan } flags offload } chain forward { type filter hook forward priority filter; pagdawat sa palisiya; ip protocol {tcp, udp } flow add @f } chain post {type nat hook postrouting priority filter; pagdawat sa palisiya; oifname "wan" masquerade } }
- Gidugang nga suporta alang sa paglakip sa bandila sa tag-iya sa usa ka lamesa aron masiguro ang eksklusibo nga paggamit sa lamesa pinaagi sa usa ka proseso. Kung ang usa ka proseso matapos, ang lamesa nga nalangkit niini awtomatik nga mapapas. Ang impormasyon bahin sa proseso gipakita sa mga lagda dump sa porma sa usa ka komentaryo: table ip x { # progname nft flags owner chain y { type filter hook input priority filter; pagdawat sa palisiya; mga counter packet 1 byte 309 }}
- Gidugang nga suporta alang sa detalye sa IEEE 802.1ad (VLAN stacking o QinQ), nga naghubit sa usa ka paagi sa pag-ilis sa daghang mga tag sa VLAN sa usa ka frame sa Ethernet. Pananglitan, aron masusi ang matang sa external Ethernet frame 8021ad ug vlan id=342, mahimo nimong gamiton ang construction ... ether type 802.1ad vlan id 342 aron masusi ang external nga tipo sa Ethernet frame 8021ad/vlan id=1, nested 802.1 q/vlan id=2 ug dugang nga IP packet encapsulation: ... ether type 8021ad vlan id 1 vlan type 8021q vlan id 2 vlan type ip counter
- Gidugang nga suporta alang sa pagdumala sa mga kapanguhaan gamit ang hiniusa nga hierarchy cgroups v2. Ang yawe nga kalainan tali sa cgroups v2 ug v1 mao ang paggamit sa usa ka komon nga cgroups hierarchy para sa tanang matang sa resources, imbes sa separado nga hierarchy para sa pag-alokar sa CPU resources, para sa pag-regulate sa memory consumption, ug para sa I/O. Pananglitan, aron masusi kung ang katigulangan sa usa ka socket sa unang lebel nga cgroupv2 motakdo sa "system.slice" mask, mahimo nimong gamiton ang pagtukod: ... socket cgroupv2 level 1 "system.slice"
- Добавлена возможность проверки составных частей пакетов SCTP (необходимая для работы функциональность появится в ядре Linux 5.14). Например, для проверки наличия в пакете chunk-а с типом ‘data’ и полем ‘type’: … sctp chunk data exists … sctp chunk data type 0
- Ang pagpatuman sa operasyon sa pagkarga sa lagda gipadali sa gibana-bana nga duha ka beses gamit ang "-f" nga bandila. Gipaspasan usab ang output sa listahan sa mga lagda.
- Usa ka compact nga porma alang sa pagsusi kung ang mga flag bits gitakda ba gihatag. Pananglitan, aron masusi nga ang snat ug dnat status bits wala gitakda, mahimo nimong itakda ang: ... ct status ! snat,dnat aron masusi nga ang syn bit nabutang sa bitmask syn,ack: ... tcp flags syn / syn,ack aron masusi nga ang fin ug first bits wala gibutang sa bitmask syn,ack,fin,rst: ... tcp flags! = fin,rst / syn,ack,fin,rst
- Itugot ang "paghukom" nga keyword sa set/mapa typeof definitions: add map xm {typeof iifname . ip protocol th dport: hukom ;}
Source: opennet.ru
