🥇nftables पैकेट फ़िल्टर 0.9.9 का विमोचन

nftables 0.9.9 पैकेट फ़िल्टर जारी कर दिया गया है। यह IPv4, IPv6, ARP और नेटवर्क ब्रिज के लिए पैकेट फ़िल्टरिंग इंटरफ़ेस को एकीकृत करता है (इसे iptables, ip6table, arptables और ebtables के विकल्प के रूप में लक्षित किया गया है)। इसके साथ ही libnftnl 1.2.0 लाइब्रेरी भी जारी कर दी गई है, जो nf_tables सबसिस्टम के साथ इंटरैक्ट करने के लिए एक लो-लेवल API प्रदान करती है। nftables 0.9.9 के लिए आवश्यक परिवर्तन कर्नेल में शामिल कर लिए गए हैं। Linux 5.13-आरसी1.

nftables पैकेज में पैकेट फ़िल्टर घटक होते हैं जो उपयोगकर्ता स्थान में काम करते हैं, जबकि कर्नेल-स्तर का काम nf_tables सबसिस्टम द्वारा प्रदान किया जाता है, जो कर्नेल का हिस्सा है। Linux रिलीज 3.13 के बाद से, कर्नेल स्तर पर केवल एक सामान्य प्रोटोकॉल-स्वतंत्र इंटरफ़ेस प्रदान किया जाता है, जो पैकेट से डेटा निकालने, डेटा संचालन करने और प्रवाह नियंत्रण के लिए बुनियादी कार्यक्षमता प्रदान करता है।

फ़िल्टरिंग नियम और प्रोटोकॉल-विशिष्ट हैंडलर उपयोगकर्ता स्थान में बाइटकोड में संकलित किए जाते हैं, जिसके बाद इस बाइटकोड को नेटलिंक इंटरफ़ेस का उपयोग करके कर्नेल में लोड किया जाता है और कर्नेल में एक विशेष तरीके से निष्पादित किया जाता है। आभासी मशीनयह दृष्टिकोण बीपीएफ (बर्कले पैकेट फिल्टर) की याद दिलाता है। यह दृष्टिकोण कर्नेल स्तर पर चलने वाले फ़िल्टरिंग कोड के आकार में उल्लेखनीय कमी की अनुमति देता है और सभी नियम पार्सिंग और प्रोटोकॉल लॉजिक को उपयोगकर्ता स्थान में स्थानांतरित करता है।

मुख्य नवाचार:

फ़्लोटेबल प्रोसेसिंग को नेटवर्क एडाप्टर साइड पर ले जाने की क्षमता को कार्यान्वित किया गया, जिसे 'ऑफ़लोड' फ़्लैग का उपयोग करके सक्षम किया गया। फ़्लोटेबल पैकेट फ़ॉरवर्डिंग पथ को अनुकूलित करने के लिए एक तंत्र है, जिसमें सभी नियम प्रसंस्करण श्रृंखलाओं के माध्यम से एक पूर्ण पास केवल पहले पैकेट पर लागू होता है, और प्रवाह में अन्य सभी पैकेट सीधे फ़ॉरवर्ड किए जाते हैं। टेबल आईपी ग्लोबल {फ़्लोटेबल एफ {हुक इनग्रेस प्राथमिकता फ़िल्टर + 1 डिवाइस = {लैन 3, लैन 0, वान} फ़्लैग ऑफ़लोड} चेन फ़ॉरवर्ड {टाइप फ़िल्टर हुक फ़ॉरवर्ड प्राथमिकता फ़िल्टर; नीति स्वीकार; आईपी प्रोटोकॉल {टीसीपी, यूडीपी} फ्लो ऐड @ एफ} चेन पोस्ट {टाइप नेट हुक पोस्ट्राउटिंग प्राथमिकता फ़िल्टर; नीति स्वीकार; ओआईएफनाम "वान" मास्करेड} }
स्वामी से जुड़ने के लिए तालिका में ध्वज संलग्न करने के लिए समर्थन जोड़ा गया, जो प्रक्रिया द्वारा तालिका के अनन्य उपयोग को सुनिश्चित करने की अनुमति देता है। जब प्रक्रिया समाप्त हो जाती है, तो उससे जुड़ी तालिका स्वचालित रूप से हटा दी जाती है। प्रक्रिया के बारे में जानकारी नियम डंप में एक टिप्पणी के रूप में प्रदर्शित की जाती है: table ip x { # progname nft flags owner chain y { type filter hook input priority filter; policy Accept; counter packets 1 bytes 309 } }
IEEE 802.1ad (VLAN स्टैकिंग या QinQ) विनिर्देश के लिए समर्थन जोड़ा गया, जो एकल ईथरनेट फ़्रेम में कई VLAN टैग को प्रतिस्थापित करने के साधनों को परिभाषित करता है। उदाहरण के लिए, बाहरी ईथरनेट फ़्रेम प्रकार 8021ad और vlan id=342 की जाँच करने के लिए, आप बाहरी ईथरनेट फ़्रेम प्रकार 802.1ad/vlan id=342, नेस्टेड 8021q/vlan id=1 और IP पैकेट के आगे के एनकैप्सुलेशन की जाँच करने के लिए ... ether type 802.1ad vlan id 2 का निर्माण कर सकते हैं: ... ether type 8021ad vlan id 1 vlan type 8021q vlan id 2 vlan type ip counter
cgroups v2 के एकीकृत पदानुक्रम का उपयोग करके संसाधन प्रबंधन के लिए समर्थन जोड़ा गया। cgroups v2 और v1 के बीच मुख्य अंतर सभी प्रकार के संसाधनों के लिए cgroups के एक सामान्य पदानुक्रम का उपयोग है, CPU संसाधन आवंटन, मेमोरी खपत को विनियमित करने और I/O के लिए अलग-अलग पदानुक्रमों के बजाय। उदाहरण के लिए, यह जाँचने के लिए कि cgroupv2 के पहले स्तर पर सॉकेट का पूर्वज मास्क "system.slice" से मेल खाता है या नहीं, आप निर्माण का उपयोग कर सकते हैं: ... सॉकेट cgroupv2 स्तर 1 "system.slice"
SCTP पैकेटों के घटकों की जांच करने की क्षमता जोड़ी गई है (संचालन के लिए आवश्यक कार्यक्षमता कर्नेल में दिखाई देगी)। Linux 5.14). उदाहरण के लिए, यह जांचने के लिए कि क्या किसी पैकेट में 'डेटा' प्रकार और 'टाइप' फ़ील्ड वाला एक चंक है: … sctp चंक डेटा मौजूद है … sctp चंक डेटा प्रकार 0
"-f" फ़्लैग का उपयोग करके नियम लोडिंग ऑपरेशन का निष्पादन लगभग दोगुना हो गया है। नियमों की सूची का आउटपुट भी तेज़ हो गया है।
फ्लैग में सेट बिट्स के लिए परीक्षण का एक संक्षिप्त रूप प्रदान किया गया है। उदाहरण के लिए, यह जांचने के लिए कि स्नैट और डीएनएट स्टेटस बिट्स सेट नहीं हैं, कोई निर्दिष्ट कर सकता है: … सीटी स्टेटस! स्नैट, डीएनएट यह जांचने के लिए कि सिन बिट सिन, ack बिट मास्क में सेट है: … टीसीपी फ्लैग्स सिन / सिन, ack यह जांचने के लिए कि फिन और आरएसटी बिट्स सिन, ack, फिन, आरएसटी बिट मास्क में सेट नहीं हैं: … टीसीपी फ्लैग्स != फिन, आरएसटी / सिन, ack, फिन, आरएसटी
set/map के लिए typeof परिभाषाओं में "verdict" कीवर्ड की अनुमति है: add map xm { typeof iifname . ip protocol . th dport : verdict ;}

स्रोत: opennet.ru

nftables पैकेट फ़िल्टर 0.9.9 रिलीज़

ProHoster