nftables 1.0.1, pakkasíurammi sem sameinar pakkasíuviðmót fyrir IPv4, IPv6, ARP og netbrýr, hefur verið gefin út (ætluð sem staðgengill fyrir iptables, ip6table, arptables og ebtables). Breytingarnar sem krafist var fyrir nftables 1.0.1 hafa verið innleiddar í kjarnann. Linux 5.16-rc1.
nftables pakkinn inniheldur pakkasíuíhluti sem starfa í notendarými, en kjarnavinna er veitt af nf_tables undirkerfinu, sem er hluti af kjarnanum. Linux Frá útgáfu 3.13 hefur aðeins verið boðið upp á almennt samskiptaregluóháð viðmót á kjarnastigi, sem veitir grunnvirkni til að vinna gögn úr pakka, framkvæma gagnaaðgerðir og flæðisstýringu.
Síureglurnar sjálfar og samskiptareglur sem eru sértækar fyrir samskiptareglur eru þýddar í bætikóða í notendarými, eftir það er þessi bætikóði hlaðinn inn í kjarnann með Netlink viðmótinu og keyrður í kjarnanum á sérstakan hátt. sýndarvél, sem minnir á BPF (Berkeley Packet Filters). Þessi aðferð gerir kleift að minnka verulega stærð síunarkóðans sem keyrir á kjarnastigi og færir alla reglugreiningu og samskiptareglur yfir í notendarýmið.
Helstu nýjungar:
- Minni minnisnotkun við hleðslu á stórum settum og kortalistum.
- Endurhleðsla setta og kortalista hefur verið flýtt.
- Framleiðsla valinna taflna og keðja í stórum reglusettum hefur verið flýtt. Til dæmis er framkvæmdartími „nft list ruleset“ skipunarinnar til að sýna sett af reglum með 100 þúsund línum 3.049 sekúndur, og þegar aðeins er gefið út nat og filter töflurnar (“nft list table nat”, „nft list table filter” ”) minnkar í 1.969 og 0.697 sekúndur.
- Framkvæmd fyrirspurna með „--terse“ valmöguleikanum hefur verið flýtt þegar unnið er úr reglum með stórum sett- og kortalista.
- Það er hægt að sía umferð úr “egress” keðjunni, sem er unnin á sama stigi og útgöngustjórnun í netdev keðjunni (egress hook), þ.e. á því stigi þegar bílstjórinn fær pakka úr kjarnanetsstaflanum. table netdev filter { chain egress { type filter hook egress devices = { eth0, eth1 } forgangur 0; meta forgangsstilling ip saddr kort { 192.168.10.2 : abcd:2, 192.168.10.3 : abcd:3 } } }
- Leyfir samsvörun og breytingu á bætum í haus og innihaldi pakka á tilteknu móti. # nft bæta reglu xy @ih,32,32 0x14000000 teljari # nft bæta reglu xy @ih,32,32 setja 0x14000000 teljara
Heimild: opennet.ru
