Tá scaoileadh scagaire paicéad nftables 1.0.0 foilsithe, ag aontú comhéadain scagtha paicéad le haghaidh IPv4, IPv6, ARP agus droichid líonra (dírithe ar iptables, ip6table, arptables agus ebtables a athsholáthar). Tá na hathruithe atá ag teastáil le haghaidh scaoileadh nftables 1.0.0 a bheith ag obair san áireamh san eithne Linux 5.13. Níl baint ag athrú suntasach ar uimhir an leagain le haon athruithe bunúsacha, ach níl ann ach iarmhairt ar leanúint comhsheasmhach na huimhrithe sa nodaireacht dheachúil (ba é an scaoileadh roimhe seo ná 0.9.9).
Áirítear sa phacáiste nftables comhpháirteanna scagaire paicéad a ritheann i spás úsáideora, agus soláthraíonn an fochóras nf_tables an obair ar leibhéal na heithne, atá mar chuid den eithne Linux ó scaoileadh 3.13. Ní sholáthraíonn an leibhéal eithne ach comhéadan prótacal-neamhspleách cineálach a sholáthraíonn feidhmeanna bunúsacha chun sonraí a bhaint as paicéid, oibríochtaí sonraí a dhéanamh, agus rialú sreafa.
Déantar na rialacha scagtha agus na láimhseálaithe prótacail-shonracha a thiomsú i bytecode sa spás úsáideora, agus ina dhiaidh sin déantar an bytecode seo a luchtú isteach san eithne ag baint úsáide as comhéadan Netlink agus a fhorghníomhú san eithne i meaisín fíorúil speisialta a mheabhraíonn BPF (Scagairí Paicéad Berkeley). Ligeann an cur chuige seo duit méid an chóid scagtha a ritheann ag leibhéal na heithne a laghdú go suntasach agus feidhmeanna uile na rialacha parsála agus an loighic maidir le hoibriú le prótacail a bhogadh isteach sa spás úsáideora.
Príomh-nuálaíochtaí:
- Tá tacaíocht don eilimint masc “*” curtha le liostaí socraithe, rud a spreagtar d’aon phacáistí nach dtagann faoi eilimintí eile atá sainithe sa tacar. tábla x { blocliosta léarscáil { cineál ipv4_addr : bratacha fíorasc eilimintí eatramh = { 192.168.0.0/16 : glacadh, 10.0.0.0/8 : glacadh, * : titim } } slabhra y { cineál scagaire Hook tosaíochta tosaíochta 0; glacadh le beartas; ip saddr vmap @blocklist } }
- Is féidir athróga a shainiú ón líne ordaithe ag baint úsáide as an rogha “--define”. # cat test.nft table netdev x { slabhra y { cineál scagairí gléasanna iontrála crúca = $dev tosaíocht 0; titim beartais; } } # nft —define dev = " { eth0, eth1 }" -f test.nft
- I liostaí léarscáileanna, ceadaítear slonn tairiseach (ráiteach) a úsáid: tábla inet scagaire { portmap léarscáil { cineál inet_service : fíorasc counter elements = { 22 paicéad cuntair 0 beart 0 : jump ssh_input, * paicéid cuntair 0 beart 0 : titim } } slabhra ssh_input { } slabhra wan_input { tcp dport vmap @portmap } slabhra a réamhródú { cineál scagaire hook ag réamhródú amh tosaíochta; glacadh le beartas; iif vmap { "lo" : léim wan_input } } }
- Cuireadh ordú "liosta crúcaí" leis chun liosta láimhseálaithe do theaghlach paicéad ar leith a thaispeáint: # nft list hooks ip device eth0 family ip { hook ingress { +0000000010 slabhra netdev xy [nf_tables] +0000000300 slabhra inet mw [nf_tables] } ionchur hook { -0000000100 slabhra ip ab [nf_tables] +0000000300 slabhra inet mz [nf_tables] } crúca ar aghaidh { -0000000225 selinux_ipv4_forward 0000000000 slabhra ip ac [nf_tables] 0000000225} hook ar aghaidh postródú { +4 0000000225 selinux_ipv4_postroute } }
- Ligeann bloic scuaine na habairtí jhash, symhash, agus numgen a chomhcheangal chun paicéid a dháileadh ar scuainí i spás úsáideora. … scuaine chuig symhash mod 65536 … scuaine bratacha sheachbhóthar go numgen inc mod 65536 … scuaine chuig jhash oif . Is féidir "scuaine" meta mark mod 32 a chomhcheangal le liostaí léarscáileanna freisin chun scuaine a roghnú sa spás úsáideora bunaithe ar eochracha treallach. ... scuaine bratacha a sheachbhóthar go léarscáil oifname { "eth0" : 0, "ppp0" : 2, "eth1" : 2 }
- Is féidir athróga a chuimsíonn liosta tacair a leathnú ina roinnt léarscáileanna. sainmhínigh comhéadain = { eth0, eth1 } tábla ip x { slabhra y { cineál ionchuir hook scagaire tosaíochta 0; glacadh le beartas; iifname vmap { lo : glac leis, $interfaces : titim } } } # nft -f x.nft # nft list ruleset table ip x { slabhra y { cineál ionchuir hook scagaire tosaíochta 0; glacadh le beartas; iifname vmap { "lo" : glacadh, "eth0" : titim, "eth1" : titim } } }
- Ceadaítear vmaps (léarscáil fíorasc) a chomhcheangal ag eatraimh: # nft cuir riail xy tcp dport . ip saddr vmap { 1025-65535 . 192.168.10.2 : glacadh }
- Comhréir shimplithe le haghaidh mapálacha TAN. Ceadaithe raonta seoltaí a shonrú: ... léarscáil snat go ip saddr { 10.141.11.4 : 192.168.2.2-192.168.2.4 } nó seoltaí IP agus calafoirt sainráite: ... dnat go ip saddr léarscáil { 10.141.11.4 : 192.168.2.3 : . 80 } nó teaglaim de raonta IP agus de phoirt: ... dnat go ip saddr . léarscáil tcp dport { 192.168.1.2 . 80: 10.141.10.2-10.141.10.5. 8888-8999 }
Foinse: oscailtenet.ru