ProHoster > Pūnaewele > nūhou pūnaewele > nftables packet filter hoʻokuʻu 0.9.9

nftables packet filter hoʻokuʻu 0.9.9

Ua hoʻokuʻu ʻia ka kānana packet nftables 0.9.9. Hoʻohui ia i nā interfaces kānana packet no IPv4, IPv6, ARP, a me nā alahaka pūnaewele (i manaʻo ʻia he pani no iptables, ip6table, arptables, a me ebtables). Ua hoʻokuʻu ʻia ka waihona puke libnftnl 1.2.0 e hele pū ana, kahi e hāʻawi ai i kahi API haʻahaʻa no ka launa pū ʻana me ka ʻōnaehana nf_tables, i ka manawa like. Ua hoʻokomo ʻia nā hoʻololi i koi ʻia no nftables 0.9.9 i loko o ka kernel. Linux 5.13-rc1.

Aia i loko o ka pūʻolo nftables nā ʻāpana kānana packet e hana ana ma ka wahi mea hoʻohana, ʻoiai ʻo ka hana pae kernel e hoʻolako ʻia e ka nf_tables subsystem, ʻo ia kekahi ʻāpana o ka kernel. Linux Mai ka hoʻokuʻu ʻana o 3.13, ua hāʻawi wale ʻia kahi interface protocol-independent generic ma ka pae kernel, e hāʻawi ana i nā hana kumu no ka unuhi ʻana i ka ʻikepili mai nā packets, ka hana ʻana i nā hana ʻikepili, a me ke kaohi ʻana i ke kahe.

Hoʻohui ʻia nā lula kānana ponoʻī a me nā mea lawelawe kikoʻī protocol i loko o ka bytecode ma ka wahi mea hoʻohana, ma hope o ka hoʻouka ʻia ʻana o kēia bytecode i loko o ka kernel me ka hoʻohana ʻana i ka interface Netlink a hoʻokō ʻia i loko o ka kernel ma kahi kūikawā. mīkini uila, e hoʻomanaʻo ana iā BPF (Berkeley Packet Filters). ʻAe kēia ʻano hana i ka hōʻemi nui ʻana i ka nui o ke code kānana e holo ana ma ka pae kernel a hoʻoneʻe i nā loiloi lula āpau a me ka logic protocol i ka wahi mea hoʻohana.

Nā hana hou nui:

  • Ua hoʻokō ʻia ka hiki ke hoʻoneʻe i ka hana kahe kahe i ka ʻaoʻao adapter network, hiki ke hoʻohana i ka hae 'offload'. ʻO ka Flowtable kahi hana no ka hoʻonui ʻana i ke ala o ka hoʻihoʻi ʻana i ka packet, kahi i hoʻopili ʻia ai ka pauku piha o nā kaulahao hoʻoponopono lula a pau i ka ʻeke mua wale nō, a hoʻouna pololei ʻia nā ʻeke ʻē aʻe a pau o ke kahe. papaʻaina ip honua { flowtable f { hook ingress priority filter + 1 device = { lan3, lan0, wan } hae offload } kaulahao i mua { type filter hook forward priority filter; ʻae i nā kulekele; ip protocol { tcp, udp } flow add @f } kaulahao pou { type nat hook postrouting priority filter; ʻae i nā kulekele; oifname "wan" masquerade } }
  • Kākoʻo hoʻohui ʻia no ka hoʻopili ʻana i ka hae nona ka pākaukau e hōʻoia i ka hoʻohana kūʻokoʻa o ka papaʻaina ma ke kaʻina hana. Ke hoʻopau ʻia kahi kaʻina hana, holoi ʻia ka pākaukau e pili ana me ia. Hōʻike ʻia ka ʻike e pili ana i ke kaʻina hana ma ka hoʻolei ʻana i nā lula ma ke ʻano he manaʻo: papa ip x { # progname nft hae haku kaulahao y { type filter hook input priority filter; ʻae i nā kulekele; nā ʻeke kūʻai 1 byte 309 } }
  • Kākoʻo hoʻohui ʻia no ka kikoʻī IEEE 802.1ad (VLAN stacking a i ʻole QinQ), kahi e wehewehe ai i kahi ala no ka hoʻololi ʻana i nā hōʻailona VLAN he nui i hoʻokahi kiʻi Ethernet. No ka laʻana, e nānā i ke ʻano o waho o ka Ethernet frame 8021ad a me ka vlan id=342, hiki iā ʻoe ke hoʻohana i ka hana ... ether type 802.1ad vlan id 342 e nānā i ke ʻano waho o ka Ethernet frame 8021ad/vlan id=1, nested 802.1 q/vlan id=2 a me ka hoʻopili ʻia ʻana o ka ʻeke IP hou aku: ... ʻano ether 8021ad vlan id 1 ʻano vlan 8021q vlan id 2 ʻano ip counter ʻano vlan
  • Hoʻohui i ke kākoʻo no ka mālama ʻana i nā kumuwaiwai me ka hoʻohana ʻana i nā hui hierarchy hui hui v2. ʻO ka ʻokoʻa nui ma waena o cgroups v2 a me v1 ka hoʻohana ʻana i kahi hierarchy cgroups maʻamau no nā ʻano waiwai āpau, ma kahi o nā hierarchies kaʻawale no ka hoʻokaʻawale ʻana i nā kumuwaiwai CPU, no ka hoʻoponopono ʻana i ka hoʻohana ʻana i ka hoʻomanaʻo, a no I/O. No ka laʻana, no ka nānā ʻana inā pili ka kupuna o kahi kumu ma ka pae mua cgroupv2 i ka mask "system.slice", hiki iā ʻoe ke hoʻohana i ke kūkulu ʻana: ... socket cgroupv2 pae 1 "system.slice"
  • Ua hoʻohui ʻia ka hiki ke nānā i nā ʻāpana o nā pākeke SCTP (e ʻike ʻia ka hana e pono ai no ka hana ma ka kernel Linux 5.14). No ka laʻana, e nānā inā loaʻa i kahi ʻeke kahi ʻāpana me ke ʻano 'ʻikepili' a me ke kahua 'ʻano': … aia ka ʻikepili sctp chunk … ʻano ʻikepili sctp chunk 0
  • Ua hoʻonui ʻia ka hoʻokō ʻana i ka hana hoʻouka kānāwai ma kahi o ʻelua manawa me ka hoʻohana ʻana i ka hae "-f". Ua hoʻopaneʻe ʻia ka hoʻopuka ʻana o ka papa inoa o nā lula.
  • Hāʻawi ʻia kahi palapala paʻa no ka nānā ʻana inā ua hoʻonohonoho ʻia nā ʻāpana hae. No ka laʻana, no ka nānā ʻana ʻaʻole i hoʻonohonoho ʻia nā bits status snat a me dnat, hiki iā ʻoe ke kuhikuhi: ... ct status ! snat,dnat e nānā ua hoʻonohonoho ʻia ka syn bit ma ka bitmask syn,ack: ... nā hae tcp syn / syn,ack e nānā ʻaʻole i hoʻonohonoho ʻia nā fin a me nā bits mua i ka bitmask syn,ack,fin,rst: ... nā hae tcp! = fin,rst / syn,ack,fin,rst
  • E ʻae i ka huaʻōlelo "hoʻoholo" i ka hoʻonohonoho/palapala ʻano wehewehe: hoʻohui i ka palapala ʻāina xm {typeof iifname. ip protocol th dport: hoʻoholo;}

Source: opennet.ru

E kūʻai i ka hoʻokipa hilinaʻi no nā pūnaewele me ka pale DDoS, nā kikowaena VPS VDS 🔥 E kūʻai i ka hoʻokipa pūnaewele hilinaʻi me ka pale DDoS, nā kikowaena VPS VDS | ProHoster