ProHoster > Blag > nuacht idirlín > Scagaire paicéad nftables scaoileadh 1.0.6

Scagaire paicéad nftables scaoileadh 1.0.6

Tá an scagaire paicéad nftables 1.0.6 eisithe. Aontaíonn sé comhéadain scagacháin paicéad le haghaidh IPv4, IPv6, ARP, agus droichid líonra (atá dírithe ar iptables, ip6table, arptables, agus ebtables a athsholáthar). Cuimsíonn an pacáiste nftables comhpháirteanna scagaire paicéad spás úsáideora, agus soláthraíonn an fochóras nf_tables, atá mar chuid den eithne, feidhmiúlacht ar leibhéal an eithne. Linux Ó eisiúint 3.13, níl ach comhéadan cineálach neamhspleách ar phrótacal ar fáil ag leibhéal an eithne, rud a sholáthraíonn feidhmiúlacht bhunúsach chun sonraí a bhaint as paicéid, oibríochtaí sonraí a dhéanamh, agus rialú sreafa.

Déantar na rialacha scagtha féin agus láimhseálaithe prótacail-shonracha a thiomsú i gcód beart sa spás úsáideora, agus ina dhiaidh sin luchtaítear an cód beart seo isteach sa chroílár ag baint úsáide as an gcomhéadan Netlink agus cuirtear i gcrích é sa chroílár i modh speisialta. meaisín fíorúil, rud a chuireann BPF (Scagairí Paicéad Berkeley) i gcuimhne dúinn. Ligeann an cur chuige seo laghdú suntasach a dhéanamh ar mhéid an chóid scagtha atá ag rith ag leibhéal an eithne agus bogann sé an loighic parsála rialacha agus prótacail go léir isteach sa spás úsáideora.

Athruithe móra:

  • Déanann an t-uasmhéadaitheoir rialacha, ar a dtugtar nuair a shonraítear an rogha “-o/-optimize”, pacáistiú uathoibríoch rialacha trína gcomhcheangal agus a thiontú ina liostaí léarscáileanna agus tacair. Mar shampla, rialacha # cat ruleset.nft table ip x { slabhra y { cineál scagaire hook scagaire tosaíochta ionchuir; titim beartais; meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 glacadh le meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4 glacadh le meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.3.0 ip daddr 24 ip daidí glacadh leis .1 ip daddr 1.1.1.2-2.2.4.0 glacadh le meta iifname eth2.2.4.10 ip saddr 2 ip daddr 1.1.1.3 glacadh } } tar éis "nft -o -c -f ruleset.nft" a fhorghníomhú a thiontú go mar a leanas: ruleset.nft . nft:2.2.2.5:4-17: meta iifname eth74 ip saddr 1 ip daddr 1.1.1.1 glacadh le rialachaet.nft:2.2.2.3:5-17: meta iifname eth74 ip saddr 1 ip daddr 1.1.1.2 glacadh le rialacha : 2.2.2.4:6-17: meta iifname eth77 ip saddr 1 ip daddr 1.1.1.2/2.2.3.0 glac le rialachaet.nft:24:7-17: meta iifname eth83 ip saddr 1 ip daddr 1.1.1.2. glac le rialachaet.nft:2.2.4.0:2.2.4.10-8: meta iifname eth17 ip saddr 74 ip daddr 2 glacadh isteach: iifname . ip saddr. ip daidí { eth1.1.1.3 . 2.2.2.5. 1, eit1.1.1.1 . 2.2.2.3. 1, eit1.1.1.2 . 2.2.2.4. 1/1.1.1.2, eit2.2.3.0 . 24. 1-1.1.1.2, eit2.2.4.0. 2.2.4.10. 2 } glacadh leis
  • Is féidir leis an optimizer freisin rialacha a úsáideann liostaí tacair simplí a thiontú i bhfoirm níos dlúithe, mar shampla na rialacha: # cat ruleset.nft table ip scagaire { ionchur slabhra { cineál scagaire scagaire tosaíochta ionchur hook; titim beartais; iifname “lo” glac leis an stát ct bunaithe, glac leis an trácht “I dtrácht as a dtionscaimid, tá muinín againn” iifname “enp0s31f6” ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 123 puddr 32768 : iifname "enp65535s0f31" ip saddr { 6, 64.59.144.17 } ip daddr 64.59.150.133 udp sport 10.0.0.149 udp dport 53-32768 glacadh leis } } } tar éis na rialacha a leanas a fhorghníomhú -cft. : ruleset.nft:65535:6-22: iifname "enp149s0f31" ip saddr { 6, 209.115.181.102 } ip daddr 216.197.228.230 udp spórt 10.0.0.149 et.123 glacadh-: 32768:65535 udp -7 22 : iifname "enp143s0f31" ip saddr { 6, 64.59.144.17 } ip daddr 64.59.150.133 udp spórt 10.0.0.149 udp dport 53-32768 glacadh isteach: iifname . ip saddr. ip daidí. spórt udp. udp dport { enp65535s0f31 . 6. 209.115.181.102. 10.0.0.149. 123-32768, enp65535s0f31. 6. 216.197.228.230. 10.0.0.149. 123-32768, enp65535s0f31. 6. 64.59.144.17. 10.0.0.149. 53-32768, enp65535s0f31. 6. 64.59.150.133. 10.0.0.149. 53-32768 } glacadh leis
  • Fadhb réitithe le giniúint bytecode le haghaidh eatraimh chumaisc a úsáideann cineálacha le hordú beart éagsúil, mar shampla IPv4 (ordú beart líonra) agus meiteamharc (ordú beart córais). tábla ip x { léarscáil w { cineál ip saddr . meiteamharc : bratacha fíorasc eilimintí cuntair eatramh = { 127.0.0.1-127.0.0.4 . 0x123434-0xb00122 : glacadh leis, 192.168.0.10-192.168.1.20 . 0x0000aa00-0x0000aaff : glacadh leis, } } slabhra k { cineál scagaire hook scagaire tosaíochta ionchur; titim beartais; ip saddr. meiteamharc vmap @w } }
  • Comparáid fheabhsaithe ar phrótacail neamhchoitianta nuair a bhíonn nathanna cainte amh á n-úsáid, mar shampla: glac le meta l4proto 91 @th,400,16 0x0
  • Réitíodh fadhbanna maidir le rialacha cumasaithe ag eatraimh: cuir isteach riail xy tcp sport { 3478-3497, 16384-16387 } frithghlacadh
  • Feabhsaíodh an JSON API chun tacaíocht do shloinn a chur san áireamh i liostaí tacair agus léarscáileanna.
  • Ceadaíonn síntí ar an leabharlann python nftables luchtú tacair rialacha lena bpróiseáil i mód bailíochtaithe ("-c") agus cuireann siad tacaíocht le sainmhíniú seachtrach ar athróga.
  • Ceadaítear tuairimí a chur leis in eilimintí liosta tacair.
  • Ligeann teorainn ráta an bhirt luach nialasach a shonrú.

Foinse: oscailtenet.ru

Ceannaigh óstáil iontaofa do shuímh le cosaint DDoS, freastalaithe VPS VDS 🔥 Ceannaigh óstáil gréasáin iontaofa le cosaint DDoS, freastalaithe VPS VDS | ProHoster