ProHoster > Blog > naidheachdan eadar-lìn > sìoltachan pacaid nftables 0.9.9 sgaoileadh

sìoltachan pacaid nftables 0.9.9 sgaoileadh

Chaidh an criathrag pacaid nftables 0.9.9 fhoillseachadh. Tha e a’ ceangal eadar-aghaidhean criathrag pacaid airson IPv4, IPv6, ARP, agus drochaidean lìonra (air an dealbhadh mar àite airson iptables, ip6table, arptables, agus ebtables). Chaidh an leabharlann libnftnl 1.2.0 a tha na chois, a bheir seachad API ìosal-ìre airson eadar-obrachadh leis an fho-shiostam nf_tables, fhoillseachadh aig an aon àm. Chaidh na h-atharrachaidhean a bha a dhìth airson nftables 0.9.9 a thoirt a-steach don eithne. Linux 5.13-rc1.

Tha am pasgan nftables a’ gabhail a-steach na co-phàirtean sìoltachain pacaid a bhios ag obair ann an àite an neach-cleachdaidh, agus tha obair aig ìre an eithne air a thoirt seachad leis an fho-shiostam nf_tables, a tha nam pàirt den eithne. Linux Bho fhoillseachadh 3.13, chan eil ach eadar-aghaidh coitcheann neo-eisimeileach bho phròtacal air a thoirt seachad aig ìre an eithne, a’ toirt seachad gnìomhachd bhunasach airson dàta a thoirt a-mach à pacaidean, obrachaidhean dàta a dhèanamh, agus smachd a chumail air sruthadh.

Tha na riaghailtean sìolaidh fhèin agus luchd-làimhseachaidh sònraichte don phròtacal air an cur ri chèile ann an còd-byte ann an àite an neach-cleachdaidh, agus às dèidh sin thèid am còd-byte seo a luchdachadh a-steach don eithne a’ cleachdadh eadar-aghaidh Netlink agus a chur an gnìomh anns an eithne ann an dòigh shònraichte. inneal brìgheil, a tha coltach ri BPF (Berkeley Packet Filters). Leigidh an dòigh-obrach seo le lùghdachadh mòr a dhèanamh air meud a’ chòd sìolaidh a tha a’ ruith aig ìre an eithne agus gluaisidh e a h-uile loidsig parsaidh riaghailt agus pròtacal a-steach don àite luchd-cleachdaidh.

Prìomh innleachdan:

  • Tha an comas gluasad giullachd flowtable gu taobh adapter lìonra air a chuir an gnìomh, air a chomasachadh leis a’ bhratach ‘offload’. Is e inneal a th ’ann an Flowtable airson an t-slighe ath-stiùireadh pacaid a mheudachadh, anns a bheil an trannsa iomlan de na slabhraidhean giullachd riaghailt air a chuir a-steach don chiad phacaid a-mhàin, agus tha a h-uile pacaid eile san t-sruth air a chuir air adhart gu dìreach. table ip global { flowtable f { criathrag prìomhachas dubhan a-steach + 1 innealan = { lan3, lan0, wan } brataichean air an luchdachadh sìos } slabhraidh air adhart { seòrsa criathrag dubhan air adhart sìoltachan prìomhachais; gabhail ri poileasaidh; ip protocol { tcp, udp } sruthadh cuir @f } post slabhraidh { seòrsa nat hook postrouting criathar prìomhachais; gabhail ri poileasaidh; oifname "wan" masquerade } }
  • Taic a bharrachd airson bratach sealbhadair a cheangal ri bòrd gus dèanamh cinnteach gun tèid am bòrd a chleachdadh a-mhàin tro phròiseas. Nuair a thig pròiseas gu crìch, thèid an clàr co-cheangailte ris a dhubhadh às gu fèin-ghluasadach. Tha fiosrachadh mun phròiseas air a thaisbeanadh anns an dump riaghailtean ann an cruth beachd: table ip x { # progname nft flags sealbhadair slabhraidh y { seòrsa criathrag cuir a-steach criathrag prìomhachais; gabhail ri poileasaidh; pacaidean cuntair 1 bytes 309 } }
  • Taic a bharrachd airson sònrachadh IEEE 802.1ad (cruachadh VLAN no QinQ), a tha a’ mìneachadh dòigh air grunn tagaichean VLAN a chuir an àite aon fhrèam Ethernet. Mar eisimpleir, gus sgrùdadh a dhèanamh air an t-seòrsa frèam Ethernet taobh a-muigh 8021ad agus vlan id = 342, faodaidh tu an togail a chleachdadh ... ether type 802.1ad vlan id 342 gus sgrùdadh a dhèanamh air an t-seòrsa frèam Ethernet taobh a-muigh 8021ad/vlan id=1, neadachadh 802.1 q/vlan id=2 agus tuilleadh cuairteachadh pacaid IP: ... ether seòrsa 8021ad vlan id 1 vlan seòrsa 8021q vlan id 2 vlan seòrsa ip counter
  • Taic a bharrachd airson a bhith a’ riaghladh ghoireasan a’ cleachdadh na cgroups rangachd aonaichte v2. Is e am prìomh eadar-dhealachadh eadar cgroups v2 agus v1 a bhith a’ cleachdadh rangachd cgroups cumanta airson a h-uile seòrsa goireas, an àite rangachd fa leth airson goireasan CPU a riarachadh, airson caitheamh cuimhne a riaghladh, agus airson I / O. Mar eisimpleir, gus faighinn a-mach a bheil sinnsear socaid aig a’ chiad ìre cgroupv2 a’ maidseadh masg “system.slice”, faodaidh tu an togail a chleachdadh: ... socaid cgroupv2 ìre 1 “system.slice”
  • Chaidh a’ chomas a chur ris gus sùil a thoirt air co-phàirtean pacaidean SCTP (nochdaidh an comas-gnìomh a tha a dhìth airson obrachadh anns an eithne). Linux 5.14). Mar eisimpleir, gus sgrùdadh a dhèanamh a bheil pìos ann am pacaid leis an t-seòrsa ‘dàta’ agus an raon ‘seòrsa’: … tha dàta pìos sctp ann … seòrsa dàta pìos sctp 0
  • Chaidh coileanadh na h-obrach luchdachadh riaghailt a luathachadh timcheall air dà uair a’ cleachdadh a’ bhratach “-f”. Chaidh toradh liosta nan riaghailtean a luathachadh cuideachd.
  • Tha foirm teann air a thoirt seachad airson dearbhadh a bheil pìosan brataich air an suidheachadh. Mar eisimpleir, gus dèanamh cinnteach nach eil na pìosan inbhe snat agus dnat air an suidheachadh, faodaidh tu sònrachadh: ... ct status ! snat,dnat gus dèanamh cinnteach gu bheil am pìos syn air a shuidheachadh anns a’ bitmask syn,ack: ... tcp flags syn / syn,ack gus dèanamh cinnteach nach eil na pìosan fin agus a’ chiad bhuillean air an suidheachadh anns a’ bitmask syn,ack,fin,rst: ... tcp brataichean! = fin, an toiseach / syn, ack, fin, an toiseach
  • Leig leis a’ phrìomh fhacal “breithneachadh” a chleachdadh ann an seòrsa de mhìneachaidhean seata/mapa: cuir mapa xm { typeof iifname . protocol ip th dport : breithneachadh ;}

Source: fosgailtenet.ru

Ceannaich aoigheachd earbsach airson làraich le dìon DDoS, frithealaichean VPS VDS 🔥 Ceannaich aoigheachd làrach-lìn earbsach le dìon DDoS, frithealaichean VPS VDS | ProHoster