🥇 nftables 1.0.2 પેકેટ ફિલ્ટર રિલીઝ

પેકેટ ફિલ્ટર nftables 1.0.2 નું પ્રકાશન પ્રકાશિત કરવામાં આવ્યું છે, જે IPv4, IPv6, ARP અને નેટવર્ક બ્રિજ (iptables, ip6table, arptables અને ebtables ને બદલવાના હેતુથી) માટે પેકેટ ફિલ્ટરિંગ ઈન્ટરફેસને એકીકૃત કરે છે. કામ કરવા માટે nftables 1.0.2 પ્રકાશન માટે જરૂરી ફેરફારો Linux કર્નલ 5.17-rc માં સમાવવામાં આવેલ છે.

nftables પેકેજમાં પેકેટ ફિલ્ટર ઘટકોનો સમાવેશ થાય છે કે જે વપરાશકર્તા જગ્યામાં ચાલે છે, જ્યારે કર્નલ-સ્તરનું કાર્ય nf_tables સબસિસ્ટમ દ્વારા પ્રદાન કરવામાં આવે છે, જે 3.13 ના પ્રકાશનથી Linux કર્નલનો ભાગ છે. કર્નલ સ્તર માત્ર એક સામાન્ય પ્રોટોકોલ-સ્વતંત્ર ઈન્ટરફેસ પૂરું પાડે છે જે પેકેટોમાંથી ડેટા કાઢવા, ડેટા ઓપરેશન કરવા અને ફ્લો કંટ્રોલ માટે મૂળભૂત કાર્યો પૂરા પાડે છે.

ફિલ્ટરિંગના નિયમો પોતે અને પ્રોટોકોલ-વિશિષ્ટ હેન્ડલર્સ યુઝર-સ્પેસ બાઇટકોડમાં કમ્પાઇલ કરવામાં આવે છે, જે પછી આ બાઇટકોડ નેટલિંક ઇન્ટરફેસનો ઉપયોગ કરીને કર્નલમાં લોડ કરવામાં આવે છે અને BPF (બર્કલે પેકેટ ફિલ્ટર્સ) જેવા વિશિષ્ટ વર્ચ્યુઅલ મશીનમાં કર્નલમાં ચલાવવામાં આવે છે. આ અભિગમ કર્નલ સ્તરે ચાલતા ફિલ્ટરિંગ કોડના કદને નોંધપાત્ર રીતે ઘટાડવાનું શક્ય બનાવે છે અને પાર્સિંગ નિયમોના તમામ કાર્યો અને પ્રોટોકોલ સાથે કામ કરવાના તર્કને વપરાશકર્તા જગ્યામાં ખસેડે છે.

મુખ્ય નવીનતાઓ:

નિયમો ઑપ્ટિમાઇઝેશન મોડ ઉમેરવામાં આવ્યો છે, જે નવા "-o" ("--ઑપ્ટિમાઇઝ") વિકલ્પનો ઉપયોગ કરીને સક્ષમ કરવામાં આવ્યો છે, જેને "--ચેક" વિકલ્પ સાથે જોડીને રૂલ્સસેટ ફાઇલમાં ફેરફારોને ખરેખર લોડ કર્યા વિના તેને ઑપ્ટિમાઇઝ કરી શકાય છે. . ઑપ્ટિમાઇઝેશન તમને સમાન નિયમોને જોડવાની મંજૂરી આપે છે, ઉદાહરણ તરીકે, નિયમો: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 સ્વીકારો meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 સ્વીકારો ip daddr.1.1.1.1 .2.2.2.2 ip saddr 2.2.2.2 ip daddr 3.3.3.3 ડ્રોપ સ્વીકારો
મેટા iifname માં જોડવામાં આવશે. આઈપી સદ્દર. ip daddr { eth1 . 1.1.1.1. 2.2.2.3, eth1 . 1.1.1.2. 2.2.2.5 } ip sadr સ્વીકારો. ip daddr vmap { 1.1.1.1 . 2.2.2.2 : સ્વીકારો, 2.2.2.2 . 3.3.3.3 : ડ્રોપ }

ઉદાહરણ વપરાશ: # nft -c -o -f ruleset.test મર્જિંગ: ruleset.nft:16:3-37: ip daddr 192.168.0.1 counter accept ruleset.nft:17:3-37: ip daddr 192.168.0.2 counter accept Ruleset.nft:18:3-37: ip daddr 192.168.0.3 કાઉન્ટર આમાં સ્વીકારો: ip daddr { 192.168.0.1, 192.168.0.2, 192.168.0.3 } કાઉન્ટર પેકેટ્સ 0 બાઈટ 0 સ્વીકારો
સમૂહ યાદીઓ ip અને tcp વિકલ્પો, તેમજ sctp હિસ્સાને સ્પષ્ટ કરવાની ક્ષમતાને અમલમાં મૂકે છે: સેટ s5 { typeof ip વિકલ્પ ra મૂલ્ય તત્વો = { 1, 1024 } } સેટ s7 { typeof sctp chunk init num-inbound-streams તત્વો = { 1.
TCP વિકલ્પો fastopen, md5sig અને mptcp માટે ઉમેરાયેલ આધાર.
મેપિંગમાં mp-tcp પેટાપ્રકારનો ઉપયોગ કરવા માટે ઉમેરાયેલ સમર્થન: tcp વિકલ્પ mptcp સબટાઈપ 1
સુધારેલ કર્નલ-સાઇડ ફિલ્ટરિંગ કોડ.
Flowtable હવે JSON ફોર્મેટ માટે સંપૂર્ણ સમર્થન ધરાવે છે.
ઈથરનેટ ફ્રેમ મેચિંગ કામગીરીમાં "અસ્વીકાર" ક્રિયાનો ઉપયોગ કરવાની ક્ષમતા પ્રદાન કરવામાં આવી છે. ઈથર સેડર aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 રિજેક્ટ

સોર્સ: opennet.ru

nftables પેકેટ ફિલ્ટર 1.0.2 રિલીઝ

એક ટિપ્પણી ઉમેરો જવાબ રદ