rhyddhau hidlydd pecyn , sy'n cael ei ddatblygu i gymryd lle iptables, ip6table, arptables, ac ebtables trwy uno rhyngwynebau hidlo pecynnau ar gyfer IPv4, IPv6, ARP, a phontydd rhwydwaith. Mae'r pecyn nftables yn cynnwys cydrannau hidlo pecynnau sy'n gweithredu yn y gofod defnyddiwr, tra bod swyddogaeth lefel cnewyllyn yn cael ei darparu gan yr is-system nf_tables, sy'n rhan o'r cnewyllyn. Linux Ers rhyddhau 3.13, newidiadau sydd eu hangen ar gyfer rhyddhau nftables 0.9.2 i'w cynnwys yn y craidd Linux 5.3.
Mae lefel y cnewyllyn yn darparu rhyngwyneb protocol-annibynnol generig yn unig sy'n darparu swyddogaethau sylfaenol ar gyfer tynnu data o becynnau, perfformio gweithrediadau data, a rheoli llif. Mae'r rhesymeg hidlo ei hun a thrinwyr protocol-benodol yn cael eu crynhoi i beitcode yn y gofod defnyddiwr, ac ar ôl hynny mae'r beitcode hwn yn cael ei lwytho i'r cnewyllyn gan ddefnyddio'r rhyngwyneb Netlink a'i weithredu mewn peiriant rhithwir arbennig sy'n atgoffa rhywun o BPF (Berkeley Packet Filters). Mae'r dull hwn yn caniatáu ichi leihau'n sylweddol faint y cod hidlo sy'n rhedeg ar lefel y cnewyllyn a symud holl swyddogaethau rheolau dosrannu a rhesymeg ar gyfer gweithio gyda phrotocolau i ofod defnyddwyr.
Prif arloesiadau:
- Y gallu i wirio rhif y porthladd o bennawd y pecyn haen trafnidiaeth, waeth beth fo'r math o brotocol haen 4:
ychwanegu rheol xy ip protocol { tcp, udp } th dport 53
- Cefnogaeth ar gyfer adferiad oes set elfen:
ychwanegu elfen ip xy { 1.1.1.1 goramser 30au yn dod i ben 15s }
- Y gallu i wirio opsiynau unigol (lsrr, rr, ssrr a ra) o becynnau IPv4:
ychwanegu rheol xy ip opsiwn rr yn bodoli drop
Ar gyfer opsiynau llwybro, mae'n bosibl gwirio'r meysydd math, ptr, hyd a addr:
ychwanegu rheol xy ip opsiwn rr math 1 gostyngiad
- Mae bellach yn bosibl nodi rhagddodiaid rhwydwaith ac ystodau cyfeiriadau mewn ymadroddion:
iifname ens3 snat i 10.0.0.0/28
iifname ens3 snat i 10.0.0.1-10.0.0.15 - Cefnogaeth ar gyfer defnyddio newidynnau mewn diffiniadau cadwyn:
diffinio default_policy = derbyn
ychwanegu cadwyn ip foo bar { math hidlydd bachyn mewnbwn hidlydd blaenoriaeth; polisi $default_policy } - Bellach gellir pennu blaenoriaeth y gadwyn yn rhifiadol ac yn symbolaidd:
diffinio prio = hidlydd
diffinio prionum = 10
define prioffset = "hidlo - 150"ychwanegu tabl ip foo
ychwanegu cadwyn ip foo bar { teipiwch flaenoriaeth mewnbwn bachyn hidlydd $prio; }
ychwanegu cadwyn ip foo ber { blaenoriaeth mewnbwn bachyn hidlydd $prionum; }
ychwanegu cadwyn ip foo bor { blaenoriaeth mewnbwn bachyn hidlydd $prioffset; } - Mae cefnogaeth ar gyfer y modiwl synprocsi wedi'i roi ar waith. Er enghraifft, i osod porthladd TCP 8888 o dan amddiffyniad synprocsi, gallwch ddefnyddio'r set ganlynol o reolau:
tabl ip x {
cadwyn y {
bachyn hidlydd math prerouting blaenoriaeth amrwd; derbyn polisi;
tcp dport 8888 tcp baneri syn notrack
}cadwyn z {
math bachyn hidlydd ymlaen hidlydd blaenoriaeth; derbyn polisi;
cyflwr tcp dport 8888 ct annilys, heb ei olrhain mss synprocsi 1460 \\
wscale 7 stamp amser sach-perm ct cyflwr gostyngiad annilys
}
} - I ddiffinio cysylltiadau ychwanegol disgwyliedig sy'n gysylltiedig â'r cysylltiad presennol yn y tabl conntrack, a ddefnyddir mewn protocolau a senarios sydd angen cysylltiadau lluosog, gallwch nawr ddiffinio polisïau trwy setiau rheolau safonol. Er enghraifft, i benderfynu pa gysylltiadau dilynol â phorthladd 8888 a ddisgwylir ar ôl cysylltiadau â phorthladd TCP 5432, gallwch nodi'r rheolau canlynol:
bwrdd x {
ct disgwyliad fy nisgwyl {
protocol tcp
porth 5432
goramser 1h
12 maint
l3proto ip
}mewnbwn cadwyn {
math bachyn hidlydd blaenoriaeth mewnbwn 0;
cyflwr ct newydd tcp dport 8888 ct disgwyliad gosod myexpect
cyflwr ct sefydlu, cownter cysylltiedig derbyn
}
}
Ffynhonnell: opennet.ru
