ProHoster > blog > newyddion rhyngrwyd > Hidlydd pecyn nftables 1.0.1 rhyddhau

Hidlydd pecyn nftables 1.0.1 rhyddhau

Mae nftables 1.0.1, fframwaith hidlo pecynnau sy'n uno rhyngwynebau hidlo pecynnau ar gyfer IPv4, IPv6, ARP, a phontydd rhwydwaith, wedi'i ryddhau (wedi'i dargedu fel amnewidiad ar gyfer iptables, ip6table, arptables, ac ebtables). Mae'r newidiadau sy'n ofynnol ar gyfer nftables 1.0.1 wedi'u hymgorffori yn y cnewyllyn. Linux 5.16-rc1.

Mae'r pecyn nftables yn cynnwys y cydrannau hidlo pecynnau sy'n gweithredu yn y gofod defnyddiwr, tra bod gwaith lefel y cnewyllyn yn cael ei ddarparu gan yr is-system nf_tables, sy'n rhan o'r cnewyllyn. Linux Ers rhyddhau 3.13, dim ond rhyngwyneb generig sy'n annibynnol ar brotocol sy'n cael ei ddarparu ar lefel y cnewyllyn, gan ddarparu swyddogaeth sylfaenol ar gyfer echdynnu data o becynnau, perfformio gweithrediadau data, a rheoli llif.

Mae'r rheolau hidlo eu hunain a thrinwyr penodol i'r protocol yn cael eu llunio i mewn i god beit yn y gofod defnyddiwr, ac ar ôl hynny mae'r cod beit hwn yn cael ei lwytho i'r cnewyllyn gan ddefnyddio'r rhyngwyneb Netlink a'i weithredu yn y cnewyllyn mewn ffordd arbennig. peiriant rhithwir, yn atgoffa rhywun o BPF (Hidlau Pecyn Berkeley). Mae'r dull hwn yn caniatáu gostyngiad sylweddol ym maint y cod hidlo sy'n rhedeg ar lefel y cnewyllyn ac yn symud yr holl ddadansoddi rheolau a rhesymeg protocol i ofod defnyddwyr.

Prif arloesiadau:

  • Llai o ddefnydd cof wrth lwytho rhestrau set a mapiau mawr.
  • Mae ail-lwytho rhestrau set a mapiau wedi'i gyflymu.
  • Mae allbwn tablau a chadwyni dethol mewn setiau rheolau mawr wedi'i gyflymu. Er enghraifft, amser gweithredu'r gorchymyn “nft list ruleset” i arddangos set o reolau gyda 100 mil o resi yw 3.049 eiliad, ac wrth allbynnu dim ond y tablau nat a hidlydd (“nft list table nat”, “hidlen tabl rhestr nft ”) yn cael ei ostwng i 1.969 a 0.697 eiliad.
  • Mae gweithredu ymholiadau gyda'r opsiwn “-terse” wedi'i gyflymu wrth brosesu rheolau gyda rhestrau set a mapiau mawr.
  • Mae’n bosibl hidlo traffig o’r gadwyn “allanfa”, sy’n cael ei phrosesu ar yr un lefel â’r triniwr allanfa yn y gadwyn netdev (bachyn allanfa), h.y. ar y cam pan fydd y gyrrwr yn derbyn pecyn o'r pentwr rhwydwaith cnewyllyn. ffilter netdev tabl { egress gadwyn { math hidlydd bachyn dyfeisiau egress = { eth0, eth1 } blaenoriaeth 0; meta set blaenoriaeth map ip saddr { 192.168.10.2 : abcd:2, 192.168.10.3 : abcd:3 } } }
  • Yn caniatáu paru ac addasu beit ym mhennyn a chynnwys pecyn ar wrthbwyso penodol. # nft ychwanegu rheol xy @ih,32,32 0x14000000 cownter # nft ychwanegu rheol xy @ih,32,32 gosod cownter 0x14000000

Ffynhonnell: opennet.ru

Prynu gwesteio dibynadwy ar gyfer gwefannau sydd â diogelwch DDoS, gweinyddwyr VPS VDS 🔥 Prynu cynnal gwefannau dibynadwy gyda diogelwch DDoS, gweinyddion VPS VDS | ProHoster