Опубликован выпуск пакетного фильтра nftables 1.0.1, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Необходимые для работы выпуска nftables 1.0.1 изменения включены в состав ядра Linux 5.16-rc1.
nftables પેકેજમાં પેકેટ ફિલ્ટર ઘટકોનો સમાવેશ થાય છે કે જે વપરાશકર્તા જગ્યામાં ચાલે છે, જ્યારે કર્નલ-સ્તરનું કાર્ય nf_tables સબસિસ્ટમ દ્વારા પ્રદાન કરવામાં આવે છે, જે 3.13 ના પ્રકાશનથી Linux કર્નલનો ભાગ છે. કર્નલ સ્તર માત્ર એક સામાન્ય પ્રોટોકોલ-સ્વતંત્ર ઈન્ટરફેસ પૂરું પાડે છે જે પેકેટોમાંથી ડેટા કાઢવા, ડેટા ઓપરેશન કરવા અને ફ્લો કંટ્રોલ માટે મૂળભૂત કાર્યો પૂરા પાડે છે.
ફિલ્ટરિંગના નિયમો પોતે અને પ્રોટોકોલ-વિશિષ્ટ હેન્ડલર્સ યુઝર-સ્પેસ બાઇટકોડમાં કમ્પાઇલ કરવામાં આવે છે, જે પછી આ બાઇટકોડ નેટલિંક ઇન્ટરફેસનો ઉપયોગ કરીને કર્નલમાં લોડ કરવામાં આવે છે અને BPF (બર્કલે પેકેટ ફિલ્ટર્સ) જેવા વિશિષ્ટ વર્ચ્યુઅલ મશીનમાં કર્નલમાં ચલાવવામાં આવે છે. આ અભિગમ કર્નલ સ્તરે ચાલતા ફિલ્ટરિંગ કોડના કદને નોંધપાત્ર રીતે ઘટાડવાનું શક્ય બનાવે છે અને પાર્સિંગ નિયમોના તમામ કાર્યો અને પ્રોટોકોલ સાથે કામ કરવાના તર્કને વપરાશકર્તા જગ્યામાં ખસેડે છે.
મુખ્ય નવીનતાઓ:
- Сокращено потребление памяти при загрузке больших set- и map-списков.
- Ускорена перезагрузка set- и map-списков.
- Ускорен вывод избранных таблиц и цепочек в больших наборах правил. Например, время выполнения команды «nft list ruleset» для вывода набора правил, насчитывающего 100 тысяч строк, составляет 3.049 секунды, а при выводе только таблиц nat и filter («nft list table nat», «nft list table filter») сокращается до 1.969 и 0.697 секунд.
- Ускорено выполнение запросов с опцией «—terse» при обработке правил с большими set- и map-списками.
- Предоставлена возможность фильтрации трафика из цепочки «egress», обрабатываемой на том же уровне, что egress-обработчик в цепочке netdev (hook egress), т.е. на стадии когда драйвер получает пакет от сетевого стека ядра. table netdev filter { chain egress { type filter hook egress devices = { eth0, eth1 } priority 0; meta priority set ip saddr map { 192.168.10.2 : abcd:2, 192.168.10.3 : abcd:3 } } }
- Разрешено сопоставление и изменение байтов в заголовке и содержимом пакета по заданному смещению. # nft add rule x y @ih,32,32 0x14000000 counter # nft add rule x y @ih,32,32 set 0x14000000 counter
સોર્સ: opennet.ru