ProHoster > Blog > naidheachdan eadar-lìn > sìoltachan pacaid nftables 1.0.2 sgaoileadh

sìoltachan pacaid nftables 1.0.2 sgaoileadh

Chaidh nftables 1.0.2, frèam-obrach sìolaidh pacaidean a tha a’ ceangal eadar-aghaidhean sìolaidh pacaidean airson IPv4, IPv6, ARP, agus drochaidean lìonra, fhoillseachadh (air a dhealbhadh mar àite iptables, ip6table, arptables, agus ebtables). Chaidh na h-atharrachaidhean a bha a dhìth airson nftables 1.0.2 a thoirt a-steach don eithne. Linux 5.17-rc.

Tha am pasgan nftables a’ gabhail a-steach na co-phàirtean sìoltachain pacaid a bhios ag obair ann an àite an neach-cleachdaidh, agus tha obair aig ìre an eithne air a thoirt seachad leis an fho-shiostam nf_tables, a tha nam pàirt den eithne. Linux Bho fhoillseachadh 3.13, chan eil ach eadar-aghaidh coitcheann neo-eisimeileach bho phròtacal air a thoirt seachad aig ìre an eithne, a’ toirt seachad gnìomhachd bhunasach airson dàta a thoirt a-mach à pacaidean, obrachaidhean dàta a dhèanamh, agus smachd a chumail air sruthadh.

Tha na riaghailtean sìolaidh fhèin agus luchd-làimhseachaidh sònraichte don phròtacal air an cur ri chèile ann an còd-byte ann an àite an neach-cleachdaidh, agus às dèidh sin thèid am còd-byte seo a luchdachadh a-steach don eithne a’ cleachdadh eadar-aghaidh Netlink agus a chur an gnìomh anns an eithne ann an dòigh shònraichte. inneal brìgheil, a tha coltach ri BPF (Berkeley Packet Filters). Leigidh an dòigh-obrach seo le lùghdachadh mòr a dhèanamh air meud a’ chòd sìolaidh a tha a’ ruith aig ìre an eithne agus gluaisidh e a h-uile loidsig parsaidh riaghailt agus pròtacal a-steach don àite luchd-cleachdaidh.

Prìomh innleachdan:

  • Chaidh modh optimization riaghailtean a chuir ris, air a chomasachadh le bhith a’ cleachdadh an roghainn ùr “-o” (“--optimize”), a ghabhas a chur còmhla ris an roghainn “--check” gus atharraichean air an fhaidhle riaghailtean a sgrùdadh agus a bharrachadh gun a bhith ga luchdachadh. . Leigidh optimization dhut riaghailtean co-chosmhail a chur còmhla, mar eisimpleir, na riaghailtean: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 gabhail ri meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 gabhail ri ip saddr 1.1.1.1 ip saddr 2.2.2.2. .2.2.2.2 gabhail ri ip saddr 3.3.3.3 ip daddr XNUMX tuiteam

    thèid a chur còmhla ann an meta iifname . ip brònach. ip daddr { eth1 . 1.1.1.1. 2.2.2.3, eth1 . 1.1.1.2. 2.2.2.5} gabhail ri ip saddr . ip daddr vmap { 1.1.1.1 . 2.2.2.2: gabhail ris, 2.2.2.2 . 3.3.3.3: tuiteam }

    Cleachdadh eisimpleir: # nft -c -o -f ruleset.test Merging: ruleset.nft:16:3-37: ip daddr 192.168.0.1 counter accept ruleset.nft:17:3-37: ip daddr 192.168.0.2 counter accept riaghailteanet.nft:18:3-37: ip daddr 192.168.0.3 counter gabhail a-steach: ip daddr { 192.168.0.1, 192.168.0.2, 192.168.0.3 } counter pacaidean 0 bytes 0 gabhail ris

  • Bidh na liostaichean seata a’ cur an gnìomh comas roghainnean ip agus tcp a shònrachadh, a bharrachd air pìosan sctp: seata s5 { typeof ip option ra luach eileamaidean = { 1, 1024 } } seata s7 { typeof sctp chunk init num-inbound-streams elements = { 1, 4 } } slabhraidh c5 { roghainn ip ra luach @s5 gabhail ris } slabhraidh c7 { sctp chunk init num-inbound-streams @s7 accept }
  • Taic a bharrachd airson roghainnean TCP fastopen, md5sig agus mptcp.
  • Taic a bharrachd airson a bhith a’ cleachdadh an subtype mp-tcp ann am mapaichean: roghainn tcp mptcp subtype 1
  • Còd sìolaidh taobh kernel leasaichte.
  • Tha làn thaic aig Flowtable a-nis airson cruth JSON.
  • Chaidh an comas an gnìomh “diùltadh” a chleachdadh ann an gnìomhachd maidsidh frèam Ethernet a thoirt seachad. ether saddr aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 a dhiùltadh

Source: fosgailtenet.ru

Ceannaich aoigheachd earbsach airson làraich le dìon DDoS, frithealaichean VPS VDS 🔥 Ceannaich aoigheachd làrach-lìn earbsach le dìon DDoS, frithealaichean VPS VDS | ProHoster