🥇 nftables 0.9.5 પેકેટ ફિલ્ટર રિલીઝ

પ્રકાશિત પેકેટ ફિલ્ટર પ્રકાશન nftables 0.9.5, IPv6, IPv4, ARP અને નેટવર્ક બ્રિજ માટે પેકેટ ફિલ્ટરિંગ ઈન્ટરફેસને એકીકૃત કરીને iptables, ip6table, arptables અને ebtables માટે રિપ્લેસમેન્ટ તરીકે વિકાસ કરી રહ્યાં છે. nftables પેકેજમાં યુઝર-સ્પેસ પેકેટ ફિલ્ટર ઘટકોનો સમાવેશ થાય છે, જ્યારે કર્નલ-સ્તરનું કાર્ય nf_tables સબસિસ્ટમ દ્વારા પ્રદાન કરવામાં આવે છે, જે 3.13 ના પ્રકાશનથી Linux કર્નલનો ભાગ છે. કામ કરવા માટે nftables 0.9.5 ના પ્રકાશન માટે જરૂરી ફેરફારો કર્નલમાં સમાવવામાં આવેલ છે લિનક્સ 5.7.

કર્નલ સ્તર માત્ર એક સામાન્ય પ્રોટોકોલ-સ્વતંત્ર ઈન્ટરફેસ પૂરું પાડે છે જે પેકેટોમાંથી ડેટા કાઢવા, ડેટા ઓપરેશન કરવા અને ફ્લો કંટ્રોલ માટે મૂળભૂત કાર્યો પૂરા પાડે છે. ફિલ્ટરિંગ નિયમો અને પ્રોટોકોલ-વિશિષ્ટ હેન્ડલર્સ યુઝર સ્પેસમાં બાઈટકોડમાં કમ્પાઈલ કરવામાં આવે છે, ત્યારબાદ આ બાઈટકોડ નેટલિંક ઈન્ટરફેસનો ઉપયોગ કરીને કર્નલમાં લોડ કરવામાં આવે છે અને BPF (બર્કલે પેકેટ ફિલ્ટર્સ) ની યાદ અપાવે તેવા વિશિષ્ટ વર્ચ્યુઅલ મશીનમાં કર્નલમાં એક્ઝિક્યુટ કરવામાં આવે છે. આ અભિગમ તમને કર્નલ સ્તરે ચાલતા ફિલ્ટરિંગ કોડના કદને નોંધપાત્ર રીતે ઘટાડવા અને પ્રોટોકોલ સાથે કામ કરવા માટેના નિયમો અને તર્કશાસ્ત્રના તમામ કાર્યોને વપરાશકર્તાની જગ્યામાં ખસેડવાની મંજૂરી આપે છે.

મુખ્ય નવીનતાઓ:

સેટ તત્વો સાથે સંકળાયેલ પેકેટ અને ટ્રાફિક કાઉન્ટર્સ માટેનો આધાર સેટમાં ઉમેરવામાં આવ્યો છે. "કાઉન્ટર" કીવર્ડનો ઉપયોગ કરીને કાઉન્ટર્સ સક્ષમ છે:
કોષ્ટક ip x {
સેટ y {
આઇપી સેડરનો પ્રકાર
કાઉન્ટર
તત્વો = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
}

સાંકળ z {
પ્રકાર ફિલ્ટર હૂક આઉટપુટ પ્રાથમિકતા ફિલ્ટર; નીતિ સ્વીકારો;
ip daddr @y
}
}
કાઉન્ટર્સના પ્રારંભિક મૂલ્યો સેટ કરવા માટે, ઉદાહરણ તરીકે, પુનઃપ્રારંભ કર્યા પછી અગાઉના કાઉન્ટર્સને પુનઃસ્થાપિત કરવા માટે, તમે "nft -f" આદેશનો ઉપયોગ કરી શકો છો:
# cat ruleset.nft
કોષ્ટક ip x {
સેટ y {
આઇપી સેડરનો પ્રકાર
કાઉન્ટર
તત્વો = { 192.168.10.35 કાઉન્ટર પેકેટો 1 બાઇટ્સ 84, 192.168.10.101 \
કાઉન્ટર પી 192.168.10.135 કાઉન્ટર પેકેટ્સ 0 બાઇટ્સ 0 }
}

સાંકળ z {
પ્રકાર ફિલ્ટર હૂક આઉટપુટ પ્રાથમિકતા ફિલ્ટર; નીતિ સ્વીકારો;
ip daddr @y
}
}
# nft -f ruleset.nft
#nft યાદી નિયમો
કોષ્ટક ip x {
સેટ y {
આઇપી સેડરનો પ્રકાર
કાઉન્ટર
તત્વો = { 192.168.10.35 કાઉન્ટર પેકેટો 1 બાઇટ્સ 84, 192.168.10.101 \
કાઉન્ટર પી 192.168.10.135 કાઉન્ટર પેકેટ્સ 0 બાઇટ્સ 0 }
}

સાંકળ z {
પ્રકાર ફિલ્ટર હૂક આઉટપુટ પ્રાથમિકતા ફિલ્ટર; નીતિ સ્વીકારો;
ip daddr @y
}
}
ફ્લોટેબલમાં કાઉન્ટર સપોર્ટ પણ ઉમેરવામાં આવ્યો છે:
ટેબલ ip foo {
ફ્લોટેબલ બાર {
હૂક પ્રવેશ અગ્રતા -100
ઉપકરણો = { eth0, eth1 }
કાઉન્ટર
}

સાંકળ આગળ {
ટાઇપ ફિલ્ટર હૂક ફોરવર્ડ પ્રાયોરિટી ફિલ્ટર;
ફ્લો @બાર કાઉન્ટર ઉમેરો
}
}

તમે "conntrack -L" આદેશનો ઉપયોગ કરીને કાઉન્ટર્સની સૂચિ જોઈ શકો છો:

tcp 6 src=192.168.10.2 dst=10.0.1.2 sport=47278 dport=5201 packets=9 bytes=608 \
src=10.0.1.2 dst=10.0.1.1 રમત=5201 dport=47278 પેકેટ=8 બાઇટ્સ=428 [ઓફલોડ] માર્ક=0 \
secctx=null use=2 tcp 6 src=192.168.10.2 dst=10.0.1.2 sport=47280 dport=5201 \
packets=1005763 bytes=44075714753 src=10.0.1.2 dst=10.0.1.1 sport=5201 dport=47280 \
packets=967505 બાઇટ્સ=50310268 [OFFLOAD] માર્ક=0 secctx=null use=2
જોડાણ માટેના સેટમાં (સંકલન, સરનામાંના ચોક્કસ બંડલ્સ અને પોર્ટ જે સરખામણીને સરળ બનાવે છે), "ટાઈપઓફ" નિર્દેશનો ઉપયોગ કરવો શક્ય છે, જે સમૂહના ઘટકોના ઘટક ભાગો માટે તત્વોના ડેટા પ્રકારને નિર્ધારિત કરે છે:
ટેબલ ip foo {
વ્હાઇટલિસ્ટ સેટ કરો {
આઇપી સેડરનો પ્રકાર. ટીસીપી ડીપોર્ટ
તત્વો = { 192.168.10.35 . 80, 192.168.10.101. 80}
}

સાંકળ પટ્ટી {
પ્રકાર ફિલ્ટર હૂક પ્રીરુટિંગ પ્રાયોરિટી ફિલ્ટર; નીતિમાં ઘટાડો;
ip daddr. tcp dport @whitelist સ્વીકારો
}
}
ડાયરેક્ટીવનો પ્રકાર હવે નકશા સૂચિમાં જોડાવા પર પણ લાગુ થાય છે:
ટેબલ ip foo {
નકશો addr2mark {
આઇપી સેડરનો પ્રકાર. ટીસીપી ડીપોર્ટ: મેટા માર્ક
તત્વો = { 192.168.10.35 . 80 : 0x00000001,
192.168.10.135. 80 : 0x00000002 }
}

સાંકળ પટ્ટી {
પ્રકાર ફિલ્ટર હૂક પ્રીરુટિંગ પ્રાયોરિટી ફિલ્ટર; નીતિમાં ઘટાડો;
મેટા માર્ક સેટ ip daddr. tcp dport નકશો @addr2mark સ્વીકારો
}
}
અનામી (અનામી) સેટમાં શ્રેણીમાં જોડાવા માટે ઉમેરાયેલ સમર્થન:
# nft ઉમેરો નિયમ inet ફિલ્ટર ઇનપુટ ip daddr . ટીસીપી ડીપોર્ટ\
{ 10.0.0.0/8 . 10-23, 192.168.1.1-192.168.3.8. 80-443 } સ્વીકારો
નેટવર્ક બ્રિજ પર પ્રક્રિયા કરતી વખતે 802.1q (VLAN) ફ્લેગ સાથેના પેકેટો કાઢી નાખવાની ક્ષમતા પ્રદાન કરવામાં આવે છે:
# nft ટીસીપી રીસેટ સાથે નિયમ બ્રિજ foo બાર ઈથર પ્રકાર vlan રિજેક્ટ ઉમેરો
TCP સત્ર ઓળખકર્તા (conntrack ID) દ્વારા મેચિંગ માટે સમર્થન ઉમેર્યું. કોન્ટ્રાક આઈડી નક્કી કરવા માટે, તમે "--આઉટપુટ આઈડી" વિકલ્પનો ઉપયોગ કરી શકો છો:
# કોન્ટ્રાક -L —આઉટપુટ આઈડી
udp 17 18 src=192.168.2.118 dst=192.168.2.1 sport=36424 dport=53 packets=2 \
bytes=122 src=192.168.2.1 dst=192.168.2.118 sport=53 dport=36424 packets=2 bytes=320 \
[આશ્ચિત] માર્ક=0 ઉપયોગ=1 આઈડી=2779986232

# nft ઉમેરો નિયમ foo bar ct id 2779986232 કાઉન્ટર

સોર્સ: opennet.ru

nftables પેકેટ ફિલ્ટર 0.9.5 રિલીઝ

એક ટિપ્પણી ઉમેરો જવાબ રદ