🥇 nftables પેકેટ ફિલ્ટર 0.9.9 નું પ્રકાશન

nftables 0.9.9 પેકેટ ફિલ્ટર રિલીઝ કરવામાં આવ્યું છે. તે IPv4, IPv6, ARP, અને નેટવર્ક બ્રિજ (iptables, ip6table, arptables અને ebtables ના રિપ્લેસમેન્ટ તરીકે લક્ષિત) માટે પેકેટ ફિલ્ટરિંગ ઇન્ટરફેસોને એકીકૃત કરે છે. સાથેની libnftnl 1.2.0 લાઇબ્રેરી, જે nf_tables સબસિસ્ટમ સાથે ક્રિયાપ્રતિક્રિયા કરવા માટે નીચા-સ્તરનું API પૂરું પાડે છે, તે એકસાથે રિલીઝ કરવામાં આવી છે. nftables 0.9.9 માટે જરૂરી ફેરફારો કર્નલમાં સમાવિષ્ટ કરવામાં આવ્યા છે. Linux ૫.૧૩-આરસી૧.

nftables પેકેજમાં પેકેટ ફિલ્ટર ઘટકો હોય છે જે યુઝર સ્પેસમાં કાર્ય કરે છે, જ્યારે કર્નલ-સ્તરનું કાર્ય nf_tables સબસિસ્ટમ દ્વારા પૂરું પાડવામાં આવે છે, જે કર્નલનો ભાગ છે. Linux રિલીઝ 3.13 થી, કર્નલ સ્તરે ફક્ત એક સામાન્ય પ્રોટોકોલ-સ્વતંત્ર ઇન્ટરફેસ પ્રદાન કરવામાં આવ્યું છે, જે પેકેટોમાંથી ડેટા કાઢવા, ડેટા કામગીરી કરવા અને પ્રવાહ નિયંત્રણ માટે મૂળભૂત કાર્યક્ષમતા પ્રદાન કરે છે.

ફિલ્ટરિંગ નિયમો પોતે અને પ્રોટોકોલ-વિશિષ્ટ હેન્ડલર્સ યુઝર સ્પેસમાં બાયટેકોડમાં કમ્પાઇલ કરવામાં આવે છે, ત્યારબાદ આ બાયટેકોડ નેટલિંક ઇન્ટરફેસનો ઉપયોગ કરીને કર્નલમાં લોડ થાય છે અને કર્નલમાં એક ખાસ રીતે એક્ઝિક્યુટ થાય છે. વર્ચ્યુઅલ મશીન, BPF (બર્કલે પેકેટ ફિલ્ટર્સ) ની યાદ અપાવે છે. આ અભિગમ કર્નલ સ્તરે ચાલતા ફિલ્ટરિંગ કોડના કદમાં નોંધપાત્ર ઘટાડો કરવાની મંજૂરી આપે છે અને બધા નિયમ પાર્સિંગ અને પ્રોટોકોલ લોજિકને વપરાશકર્તા જગ્યામાં ખસેડે છે.

મુખ્ય નવીનતાઓ:

'ઓફલોડ' ફ્લેગનો ઉપયોગ કરીને ફ્લોટેબલ પ્રોસેસિંગને નેટવર્ક એડેપ્ટર બાજુ પર ખસેડવાની ક્ષમતા અમલમાં મૂકી. ફ્લોટેબલ એ પેકેટ ફોરવર્ડિંગ પાથને ઑપ્ટિમાઇઝ કરવા માટેની એક પદ્ધતિ છે, જેમાં બધી રૂલ પ્રોસેસિંગ ચેઇનનો સંપૂર્ણ ટ્રાવર્સલ ફક્ત પ્રથમ પેકેટ પર લાગુ થાય છે, અને ફ્લોમાંના અન્ય તમામ પેકેટો સીધા ફોરવર્ડ કરવામાં આવે છે. ટેબલ આઇપી ગ્લોબલ { ફ્લોટેબલ એફ { હૂક ઇન્ગ્રેસ પ્રાયોરિટી ફિલ્ટર + 1 ડિવાઇસ = { lan3, lan0, wan } ફ્લેગ્સ ઓફલોડ } ચેઇન ફોરવર્ડ { ટાઇપ ફિલ્ટર હૂક ફોરવર્ડ પ્રાયોરિટી ફિલ્ટર; પોલિસી સ્વીકારો; આઇપી પ્રોટોકોલ { ટીસીપી, યુડીપી } ફ્લો એડ @f } ચેઇન પોસ્ટ { ટાઇપ નેટ હૂક પોસ્ટરાઉટિંગ પ્રાયોરિટી ફિલ્ટર; પોલિસી સ્વીકારો; oifname "wan" માસ્કરેડ } }
ટેબલ પર માલિક ધ્વજ જોડવા માટે ઉમેરાયેલ સપોર્ટ, જે પ્રક્રિયા દ્વારા કોષ્ટકનો વિશિષ્ટ ઉપયોગ સુનિશ્ચિત કરે છે. જ્યારે પ્રક્રિયા સમાપ્ત થાય છે, ત્યારે સંકળાયેલ કોષ્ટક આપમેળે કાઢી નાખવામાં આવે છે. પ્રક્રિયા માહિતી નિયમો ડમ્પમાં ટિપ્પણી તરીકે પ્રદર્શિત થાય છે: ટેબલ ip x { # progname nft flags owner chain y { પ્રકાર ફિલ્ટર હૂક ઇનપુટ પ્રાધાન્યતા ફિલ્ટર; નીતિ સ્વીકારો; કાઉન્ટર પેકેટ્સ 1 બાઇટ્સ 309 } }
IEEE 802.1ad (VLAN સ્ટેકીંગ અથવા QinQ) સ્પષ્ટીકરણ માટે ઉમેરાયેલ સપોર્ટ, જે એક જ ઇથરનેટ ફ્રેમમાં બહુવિધ VLAN ટૅગ્સને બદલવા માટેના માધ્યમોને વ્યાખ્યાયિત કરે છે. ઉદાહરણ તરીકે, બાહ્ય ઇથરનેટ ફ્રેમ પ્રકાર 8021ad અને vlan id=342 તપાસવા માટે, તમે કન્સ્ટ્રક્ટનો ઉપયોગ કરી શકો છો ... ether type 802.1ad vlan id 342 બાહ્ય ઇથરનેટ ફ્રેમ પ્રકાર 8021ad/vlan id=1, નેસ્ટેડ 802.1q/vlan id=2 તપાસવા માટે, અને IP પેકેટને વધુ સમાવિષ્ટ કરવા માટે: ... ether type 8021ad vlan id 1 vlan type 8021q vlan id 2 vlan type ip counter
યુનિફાઇડ cgroups v2 હાયરાર્કીનો ઉપયોગ કરીને રિસોર્સ મેનેજમેન્ટ માટે સપોર્ટ ઉમેરવામાં આવ્યો છે. cgroups v2 અને v1 વચ્ચેનો મુખ્ય તફાવત એ છે કે CPU રિસોર્સ ફાળવણી, મેમરી મેનેજમેન્ટ અને I/O માટે અલગ હાયરાર્કીને બદલે, બધા રિસોર્સ પ્રકારો માટે સામાન્ય cgroups હાયરાર્કીનો ઉપયોગ કરવામાં આવે છે. ઉદાહરણ તરીકે, cgroupv2 ના પ્રથમ સ્તર પર સોકેટનો પૂર્વજ "system.slice" માસ્ક સાથે મેળ ખાય છે કે નહીં તે તપાસવા માટે, તમે નીચેના બાંધકામનો ઉપયોગ કરી શકો છો: ... સોકેટ cgroupv2 સ્તર 1 "system.slice"
SCTP પેકેટોના ઘટકો તપાસવાની ક્ષમતા ઉમેરી (ઓપરેશન માટે જરૂરી કાર્યક્ષમતા કર્નલમાં દેખાશે) Linux ૫.૧૪). ઉદાહરણ તરીકે, પેકેટમાં 'ડેટા' પ્રકાર અને 'પ્રકાર' ફીલ્ડ ધરાવતો ચંક છે કે કેમ તે તપાસવા માટે: ... sctp ચંક ડેટા અસ્તિત્વમાં છે ... sctp ચંક ડેટા પ્રકાર ૦
"-f" ફ્લેગનો ઉપયોગ કરીને નિયમો લોડ કરવાની ગતિ લગભગ બમણી થઈ ગઈ છે. નિયમ સૂચિના આઉટપુટને પણ ઝડપી બનાવવામાં આવ્યું છે.
ફ્લેગ્સમાં બિટ્સની સેટિંગ તપાસવાનું એક કોમ્પેક્ટ સ્વરૂપ પૂરું પાડવામાં આવ્યું છે. ઉદાહરણ તરીકે, snat અને dnat સ્ટેટસ બિટ્સ સેટ નથી તે ચકાસવા માટે, તમે સ્પષ્ટ કરી શકો છો: ... ct status ! snat,dnat syn,ack બીટ માસ્કમાં syn બીટ સેટ છે કે નહીં તે ચકાસવા માટે: ... tcp ફ્લેગ્સ syn / syn,ack syn,ack, fin,rst બીટ માસ્કમાં fin અને rst બીટ્સ સેટ નથી તે ચકાસવા માટે: ... tcp ફ્લેગ્સ != fin,rst / syn,ack, fin,rst
સેટ/મેપ માટે ટાઇપઓફ વ્યાખ્યાઓમાં "વર્ડિક્ટ" કીવર્ડ માન્ય છે: add map xm { typeof iifname . ip protocol . th dport : verdict ;}

સોર્સ: opennet.ru

nftables પેકેટ ફિલ્ટર 0.9.9 રિલીઝ

ProHoster