ProHoster > Blag > nuacht idirlín > Scagaire paicéad nftables scaoileadh 0.9.4

Scagaire paicéad nftables scaoileadh 0.9.4

foilsithe scaoileadh scagaire paicéad táblaí nfáilte 0.9.4, ag forbairt mar ionadú ar iptables, ip6table, arptables agus ebtables trí chomhéadain scagtha paicéad a aontú le haghaidh IPv4, IPv6, ARP agus droichid líonra. Áirítear sa phacáiste nftables comhpháirteanna scagaire paicéad a ritheann i spás úsáideora, agus soláthraíonn an fochóras nf_tables an obair ar leibhéal na heithne, atá mar chuid den eithne Linux ó scaoileadh 3.13. Áirítear na hathruithe is gá chun scaoileadh nftables 0.9.4 a bheith ag obair sa bhrainse eithne amach anseo Linux 5.6.

Ní sholáthraíonn an leibhéal eithne ach comhéadan prótacal-neamhspleách cineálach a sholáthraíonn feidhmeanna bunúsacha chun sonraí a bhaint as paicéid, oibríochtaí sonraí a dhéanamh, agus rialú sreafa. Déantar na rialacha scagtha agus na láimhseálaithe prótacail-shonracha a thiomsú i bytecode sa spás úsáideora, ina dhiaidh sin déantar an bytecode seo a luchtú isteach san eithne ag baint úsáide as comhéadan Netlink agus a fhorghníomhú san eithne i meaisín fíorúil speisialta a mheabhraíonn BPF (Scagairí Paicéad Berkeley). Ligeann an cur chuige seo duit méid an chóid scagtha a ritheann ag leibhéal na heithne a laghdú go suntasach agus feidhmeanna uile na rialacha parsála agus an loighic maidir le hoibriú le prótacail a bhogadh isteach sa spás úsáideora.

Príomh-nuálaíochtaí:

  • Tacaíocht do raonta i naisc (comhchatánú, cuachtaí áirithe seoltaí agus calafoirt a shimplíonn comparáid). Mar shampla, le haghaidh “whitelist” tacair a bhfuil a n-eilimintí ina gceangaltán, léireoidh sonrú an bhratach “eatramh” gur féidir raonta a chur san áireamh sa tacar (don cheangaltán "ipv4_addr . ipv4_addr . inet_service" bhí sé indéanta roimhe seo liosta cruinn a dhéanamh oireann na foirme "192.168.10.35. 192.68.11.123", agus anois is féidir leat grúpaí seoltaí "80-192.168.10.35-192.168.10.40-192.68.11.123-192.168.11.125).

    tábla ip foo {
    socraigh liosta bán {
    cineál ipv4_addr . ipv4_ addr. inet_seirbhíse
    eatramh bratacha
    eilimintí = { 192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125. 80}
    }

    barra slabhra {
    cineál scagaire Hook prerouting scagaire tosaíochta; titim beartais;
    ip saddr. ip daidí. tcp dport @whitelist glacadh leis
    }
    }

  • I dtacair agus liostaí léarscáileanna, is féidir an treoir “cineál” a úsáid, a chinneann formáid na heiliminte agus an eilimint á meaitseáil.
    Mar shampla:

    tábla ip foo {
    socraigh liosta bán {
    cineál ip saddr
    eilimintí = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
    }

    barra slabhra {
    cineál scagaire Hook prerouting scagaire tosaíochta; titim beartais;
    ip daddr @whitelist glacadh leis
    }
    }

    tábla ip foo {
    léarscáil addr2mark {
    cineál ip saddr : marc meta
    eilimintí = { 192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
    }
    }

  • Cuireadh leis an gcumas chun nascanna a úsáid i gceangaltáin TAN, a cheadaíonn duit seoladh agus port a shonrú agus claochluithe TAN á sainiú bunaithe ar liostaí léarscáile nó tacair ainmnithe:

    nft cuir riail ip nat pre dnat ip addr . léarscáil port go ip saddr { 1.1.1.1 : 2.2.2.2 . tríocha }

    nft cuir leis an léarscáil ip nat cinn scríbe { cineál ipv4_addr . inet_service: ipv4_addr. inet_service \\; }
    nft cuir riail ip nat pre dnat ip addr . port chuig ip saddr. tcp dport map @destinations

  • Tacaíocht do luasghéarú crua-earraí le roinnt oibríochtaí scagtha arna ndéanamh ag an gcárta líonra. Cumasaítear luasghéarú tríd an áirgiúlacht ethtool (“ethtool -K eth0 hw-tc-offload on”), agus ina dhiaidh sin déantar é a ghníomhachtú in nftables don phríomhshlabhra ag baint úsáide as an mbratach “offload”. Nuair a bhíonn an eithne Linux 5.6 á úsáid, tacaítear le luasghéarú crua-earraí le haghaidh meaitseáil réimse ceanntásc agus iniúchadh comhéadain isteach i gcomhar le paicéid a fháil, a chaitheamh amach, a dhúbailt (dup), agus a chur ar aghaidh (fwd). Sa sampla thíos, déantar oibríochtaí paicéid titim a thagann ón seoladh 192.168.30.20 ag leibhéal an chárta líonra, gan na paicéid a chur ar aghaidh chuig an eithne:

    # cat file.nft
    tábla netdev x {
    slabhra y {
    cineál feiste ionraidh crúca scagaire eth0 tosaíocht 10; díluchtú bratacha;
    ip saddr 192.168.30.20 titim
    }
    }
    # nft -f comhad.nft

  • Eolas feabhsaithe faoi shuíomh earráide sna rialacha.

    # nft scrios riail ip yz láimhseáil 7
    Earráid: Níorbh fhéidir riail a phróiseáil: Níl a leithéid de chomhad nó eolaire ann
    scrios riail ip yz láimhseáil 7
    ^

    # nft scrios riail ip xx handle 7
    Earráid: Níorbh fhéidir riail a phróiseáil: Níl a leithéid de chomhad nó eolaire ann
    scrios riail ip xx handle 7
    ^

    # nft scrios twist tábla
    Earráid: Níl comhad nó eolaire den sórt sin ann; an raibh 'tástáil' tábla i gceist agat san ip teaghlaigh?
    scrios twst tábla
    ^^^^

    Léiríonn an chéad sampla nach bhfuil an tábla “y” sa chóras, an dara ceann go bhfuil an láimhseálaí “7” ar iarraidh, agus sa tríú háit go dtaispeántar leid typo agus ainm an tábla á chlóscríobh.

  • Tacaíocht bhreise chun an comhéadan sclábhaithe a sheiceáil trí “meta sdif” nó “meta sdifname” a shonrú:

    ... meta sdifname vrf1 ...

  • Tacaíocht bhreise le haghaidh oibríochtaí aistrithe ar dheis nó ar chlé. Mar shampla, chun lipéad paicéid atá ann cheana féin a athrú le 1 ghiotán agus socraigh an mionghiotán go 1:

    … meiteamharc socraithe meiteamharc lshift 1 nó 0x1 …

  • Cuireadh rogha "-V" i bhfeidhm chun faisnéis faoin leagan leathnaithe a thaispeáint.

    #nft -V
    nftables v0.9.4 (Jive ag a Cúig)
    cli: léamhlíne
    json: tá
    minimp: níl
    libxtables: tá

  • Ní mór roghanna na n-orduithe a shonrú anois roimh orduithe. Mar shampla, ní mór duit “nft -a list ruleset” a shonrú, agus má ritheann tú “nft list ruleset -a” beidh earráid ann.

    Foinse: oscailtenet.ru

Add a comment