Tá an scagaire paicéad nftables 0.9.9 eisithe. Aontaíonn sé comhéadain scagacháin paicéad le haghaidh IPv4, IPv6, ARP, agus droichid líonra (atá dírithe mar ionadach ar iptables, ip6table, arptables, agus ebtables). Tá an leabharlann libnftnl 1.2.0 a ghabhann leis, a sholáthraíonn API ísealleibhéil chun idirghníomhú leis an bhfochóras nf_tables, eisithe ag an am céanna. Tá na hathruithe a bhí riachtanach do nftables 0.9.9 ionchorpraithe san eithne. Linux 5.13-rc1.
Tá na comhpháirteanna scagaire paicéad a oibríonn i spás úsáideora sa phacáiste nftables, agus soláthraíonn an fochóras nf_tables, atá mar chuid den eithne, obair ar leibhéal an eithne. Linux Ó eisiúint 3.13, níl ach comhéadan cineálach neamhspleách ar phrótacal ar fáil ag leibhéal an eithne, rud a sholáthraíonn feidhmiúlacht bhunúsach chun sonraí a bhaint as paicéid, oibríochtaí sonraí a dhéanamh, agus rialú sreafa.
Déantar na rialacha scagtha féin agus láimhseálaithe prótacail-shonracha a thiomsú i gcód beart sa spás úsáideora, agus ina dhiaidh sin luchtaítear an cód beart seo isteach sa chroílár ag baint úsáide as an gcomhéadan Netlink agus cuirtear i gcrích é sa chroílár i modh speisialta. meaisín fíorúil, rud a chuireann BPF (Scagairí Paicéad Berkeley) i gcuimhne dúinn. Ligeann an cur chuige seo laghdú suntasach a dhéanamh ar mhéid an chóid scagtha atá ag rith ag leibhéal an eithne agus bogann sé an loighic parsála rialacha agus prótacail go léir isteach sa spás úsáideora.
Príomh-nuálaíochtaí:
- Tá an cumas chun próiseáil sreafa a bhogadh go dtí an taobh adapter líonra curtha i bhfeidhm, cumasaithe ag baint úsáide as an bratach 'íoslódála'. Is meicníocht é Flowtable chun cosán atreoraithe paicéid a bharrfheabhsú, ina gcuirtear sliocht iomlán na slabhraí próiseála rialacha go léir i bhfeidhm ach amháin ar an gcéad phaicéad, agus cuirtear gach paicéad eile sa sreabhadh ar aghaidh go díreach. tábla ip domhanda { flowtable f { scagaire tosaíochta ingress hook + 1 gléas = { lan3, lan0, wan } bratacha díluchtaithe } slabhra ar aghaidh { cineál scagaire Hook ar aghaidh scagaire tosaíochta; glacadh le beartas; prótacal ip { tcp, udp } sreabhadh cuir @f } post slabhra { cineál nat hook scagaire tosaíochta postrouting; glacadh le beartas; oifname "wan" masquerade } }
- Tacaíocht bhreise chun bratach úinéara a cheangal de bhord chun a chinntiú go n-úsáidfear an tábla go heisiach i bpróiseas. Nuair a thagann deireadh le próiseas, scriostar an tábla a bhaineann leis go huathoibríoch. Taispeántar faisnéis faoin bpróiseas sa dumpáil rialacha i bhfoirm nóta: tábla ip x { # progname nft flags úinéir slabhra y { cineál scagaire hook ionchur scagaire tosaíochta; glacadh le beartas; paicéid cuntair 1 beart 309 } }
- Tacaíocht bhreise do shonraíocht IEEE 802.1ad (cruachta VLAN nó QinQ), a shainíonn modh chun il-chlibeanna VLAN a chur in aon fhráma Ethernet amháin. Mar shampla, chun an cineál fráma Ethernet seachtrach 8021ad agus vlan id=342 a sheiceáil, is féidir leat úsáid a bhaint as an tógáil ... éitear cineál 802.1ad vlan id 342 chun an cineál seachtrach fráma Ethernet 8021ad/vlan id=1 a sheiceáil, neadaithe 802.1 q/vlan id=2 agus tuilleadh imfhálú paicéad IP: ... éitear cineál 8021ad vlan id 1 cineál vlan 8021q vlan id 2 cineál vlan counter ip
- Tacaíocht bhreise chun acmhainní a bhainistiú ag baint úsáide as na cgroups ordlathais aontaithe v2. Is í an phríomhdhifríocht idir cgroups v2 agus v1 ná úsáid a bhaint as ordlathas cgroups coiteann do gach cineál acmhainní, in ionad ordlathas ar leith chun acmhainní LAP a leithdháileadh, chun tomhaltas cuimhne a rialáil, agus le haghaidh I/O. Mar shampla, le seiceáil an bhfuil sinsear soicéad ag an gcéad leibhéal cgroupv2 ag teacht leis an masc “system.slice”, is féidir leat an tógáil a úsáid: ... soicéad cgroupv2 leibhéal 1 “system.slice”
- Cuireadh leis an gcumas comhpháirteanna na bpacáistí SCTP a sheiceáil (beidh an fheidhmiúlacht atá riachtanach le haghaidh oibríochta le feiceáil sa chroílár Linux 5.14). Mar shampla, chun a sheiceáil an bhfuil smután leis an gcineál 'sonraí' agus an réimse 'cineál' i bpacáiste: … tá sonraí smután sctp ann … cineál sonraí smután sctp 0
- Cuireadh dlús le cur i gcrích na hoibríochta luchtaithe rialacha thart ar dhá uair ag baint úsáide as an mbratach “-f”. Cuireadh dlús freisin le haschur liosta na rialacha.
- Cuirtear foirm dhlúth ar fáil chun seiceáil an bhfuil giotán bratach socraithe. Mar shampla, le seiceáil nach bhfuil na giotán stádais snat agus dnat socraithe, is féidir leat a shonrú: ... ct status ! snat,dnat le seiceáil go bhfuil an giotán siona socraithe sa sioncronán giotán,ack: ... tcp flags syn / sync,ack chun a sheiceáil nach bhfuil an t-eite agus an chéad ghiotán socraithe sa sioncronú giotán,ack,eite,céad: ... bratacha tcp ! = eite, chéad / syn,ack,eite,céad
- Ceadaigh an eochairfhocal "fíorasc" i sainmhínithe cineál tacair/mapa: cuir léarscáil xm { typeof iifname . Prótacal ip ú dport : fíorasc ;}
Foinse: oscailtenet.ru
