ProHoster > Blag > nuacht idirlín > Scagaire paicéad nftables scaoileadh 1.0.6

Scagaire paicéad nftables scaoileadh 1.0.6

Tá scaoileadh scagaire paicéad nftables 1.0.6 foilsithe, ag aontú comhéadain scagtha paicéad le haghaidh IPv4, IPv6, ARP agus droichid líonra (dírithe ar iptables, ip6table, arptables agus ebtables a athsholáthar). Áirítear sa phacáiste nftables comhpháirteanna scagaire paicéad a ritheann i spás úsáideora, agus soláthraíonn an fochóras nf_tables an obair ar leibhéal na heithne, atá mar chuid den eithne Linux ó scaoileadh 3.13. Ní sholáthraíonn an leibhéal eithne ach comhéadan prótacal-neamhspleách cineálach a sholáthraíonn feidhmeanna bunúsacha chun sonraí a bhaint as paicéid, oibríochtaí sonraí a dhéanamh, agus rialú sreafa.

Déantar na rialacha scagtha agus na láimhseálaithe prótacail-shonracha a thiomsú i bytecode sa spás úsáideora, agus ina dhiaidh sin déantar an bytecode seo a luchtú isteach san eithne ag baint úsáide as comhéadan Netlink agus a fhorghníomhú san eithne i meaisín fíorúil speisialta a mheabhraíonn BPF (Scagairí Paicéad Berkeley). Ligeann an cur chuige seo duit méid an chóid scagtha a ritheann ag leibhéal na heithne a laghdú go suntasach agus feidhmeanna uile na rialacha parsála agus an loighic maidir le hoibriú le prótacail a bhogadh isteach sa spás úsáideora.

Athruithe móra:

  • Déanann an t-uasmhéadaitheoir rialacha, ar a dtugtar nuair a shonraítear an rogha “-o/-optimize”, pacáistiú uathoibríoch rialacha trína gcomhcheangal agus a thiontú ina liostaí léarscáileanna agus tacair. Mar shampla, rialacha # cat ruleset.nft table ip x { slabhra y { cineál scagaire hook scagaire tosaíochta ionchuir; titim beartais; meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 glacadh le meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4 glacadh le meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.3.0 ip daddr 24 ip daidí glacadh leis .1 ip daddr 1.1.1.2-2.2.4.0 glacadh le meta iifname eth2.2.4.10 ip saddr 2 ip daddr 1.1.1.3 glacadh } } tar éis "nft -o -c -f ruleset.nft" a fhorghníomhú a thiontú go mar a leanas: ruleset.nft . nft:2.2.2.5:4-17: meta iifname eth74 ip saddr 1 ip daddr 1.1.1.1 glacadh le rialachaet.nft:2.2.2.3:5-17: meta iifname eth74 ip saddr 1 ip daddr 1.1.1.2 glacadh le rialacha : 2.2.2.4:6-17: meta iifname eth77 ip saddr 1 ip daddr 1.1.1.2/2.2.3.0 glac le rialachaet.nft:24:7-17: meta iifname eth83 ip saddr 1 ip daddr 1.1.1.2. glac le rialachaet.nft:2.2.4.0:2.2.4.10-8: meta iifname eth17 ip saddr 74 ip daddr 2 glacadh isteach: iifname . ip saddr. ip daidí { eth1.1.1.3 . 2.2.2.5. 1, eit1.1.1.1 . 2.2.2.3. 1, eit1.1.1.2 . 2.2.2.4. 1/1.1.1.2, eit2.2.3.0 . 24. 1-1.1.1.2, eit2.2.4.0. 2.2.4.10. 2 } glacadh leis
  • Is féidir leis an optimizer freisin rialacha a úsáideann liostaí tacair simplí a thiontú i bhfoirm níos dlúithe, mar shampla na rialacha: # cat ruleset.nft table ip scagaire { ionchur slabhra { cineál scagaire scagaire tosaíochta ionchur hook; titim beartais; iifname “lo” glac leis an stát ct bunaithe, glac leis an trácht “I dtrácht as a dtionscaimid, tá muinín againn” iifname “enp0s31f6” ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 123 puddr 32768 : iifname "enp65535s0f31" ip saddr { 6, 64.59.144.17 } ip daddr 64.59.150.133 udp sport 10.0.0.149 udp dport 53-32768 glacadh leis } } } tar éis na rialacha a leanas a fhorghníomhú -cft. : ruleset.nft:65535:6-22: iifname "enp149s0f31" ip saddr { 6, 209.115.181.102 } ip daddr 216.197.228.230 udp spórt 10.0.0.149 et.123 glacadh-: 32768:65535 udp -7 22 : iifname "enp143s0f31" ip saddr { 6, 64.59.144.17 } ip daddr 64.59.150.133 udp spórt 10.0.0.149 udp dport 53-32768 glacadh isteach: iifname . ip saddr. ip daidí. spórt udp. udp dport { enp65535s0f31 . 6. 209.115.181.102. 10.0.0.149. 123-32768, enp65535s0f31. 6. 216.197.228.230. 10.0.0.149. 123-32768, enp65535s0f31. 6. 64.59.144.17. 10.0.0.149. 53-32768, enp65535s0f31. 6. 64.59.150.133. 10.0.0.149. 53-32768 } glacadh leis
  • Fadhb réitithe le giniúint bytecode le haghaidh eatraimh chumaisc a úsáideann cineálacha le hordú beart éagsúil, mar shampla IPv4 (ordú beart líonra) agus meiteamharc (ordú beart córais). tábla ip x { léarscáil w { cineál ip saddr . meiteamharc : bratacha fíorasc eilimintí cuntair eatramh = { 127.0.0.1-127.0.0.4 . 0x123434-0xb00122 : glacadh leis, 192.168.0.10-192.168.1.20 . 0x0000aa00-0x0000aaff : glacadh leis, } } slabhra k { cineál scagaire hook scagaire tosaíochta ionchur; titim beartais; ip saddr. meiteamharc vmap @w } }
  • Comparáid fheabhsaithe ar phrótacail neamhchoitianta nuair a bhíonn nathanna cainte amh á n-úsáid, mar shampla: glac le meta l4proto 91 @th,400,16 0x0
  • Réitíodh fadhbanna maidir le rialacha cumasaithe ag eatraimh: cuir isteach riail xy tcp sport { 3478-3497, 16384-16387 } frithghlacadh
  • Feabhsaíodh an JSON API chun tacaíocht do shloinn a chur san áireamh i liostaí tacair agus léarscáileanna.
  • Ceadaíonn síntí ar an leabharlann python nftables luchtú tacair rialacha lena bpróiseáil i mód bailíochtaithe ("-c") agus cuireann siad tacaíocht le sainmhíniú seachtrach ar athróga.
  • Ceadaítear tuairimí a chur leis in eilimintí liosta tacair.
  • Ligeann teorainn ráta an bhirt luach nialasach a shonrú.

Foinse: oscailtenet.ru

Add a comment