Útgáfa pakkasíunnar nftables 1.0.2 hefur verið gefin út, sem sameinar pakkasíuviðmót fyrir IPv4, IPv6, ARP og netbrýr (sem miða að því að skipta út iptables, ip6table, arptables og ebtables). Breytingarnar sem þarf til að nftables 1.0.2 útgáfan virki eru innifalin í Linux kjarna 5.17-rc.
nftables pakkinn inniheldur pakkasíuhluti sem keyra í notendarými, en kjarnastigsvinnan er veitt af nf_tables undirkerfinu, sem hefur verið hluti af Linux kjarnanum frá útgáfu 3.13. Kjarnastigið veitir aðeins almennt samskiptaóháð viðmót sem veitir grunnaðgerðir til að vinna gögn úr pökkum, framkvæma gagnaaðgerðir og flæðisstýringu.
Síureglurnar sjálfar og siðareglur sértækar meðhöndlarar eru settar saman í notendarými bækióða, eftir það er þessum bætikóða hlaðið inn í kjarnann með því að nota Netlink viðmótið og keyrt í kjarnanum í sérstakri sýndarvél sem líkist BPF (Berkeley Packet Filters). Þessi nálgun gerir það mögulegt að minnka verulega stærð síunarkóðans sem keyrir á kjarnastigi og færa allar aðgerðir þáttunarreglna og rökfræði þess að vinna með samskiptareglur inn í notendarýmið.
Helstu nýjungar:
- Reglufínstillingarstillingu hefur verið bætt við, virkjað með því að nota nýja "-o" ("--optimize") valmöguleikann, sem hægt er að sameina við "--check" valmöguleikann til að athuga og fínstilla breytingar á reglusettaskránni án þess að hlaða hana í raun . Hagræðing gerir þér kleift að sameina svipaðar reglur, til dæmis reglurnar: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 accept meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 accept ip saddr 1.1.1.1. .2.2.2.2 samþykkja ip saddr 2.2.2.2 ip daddr 3.3.3.3 falla
verður sameinað í meta iifname . ip saddr. ip daddr { eth1. 1.1.1.1. 2.2.2.3, eth1. 1.1.1.2. 2.2.2.5 } samþykkja ip saddr . ip daddr vmap {1.1.1.1. 2.2.2.2 : samþykkja, 2.2.2.2 . 3.3.3.3 : falla }
Dæmi um notkun: # nft -c -o -f ruleset.test Sameining: ruleset.nft:16:3-37: ip daddr 192.168.0.1 counter accept ruleset.nft:17:3-37: ip daddr 192.168.0.2 counter accept ruleset.nft:18:3-37: ip daddr 192.168.0.3 teljari samþykkja inn í: ip daddr { 192.168.0.1, 192.168.0.2, 192.168.0.3 } teljarapakka 0 bæti 0 samþykkja
- Setlistarnir útfæra möguleika á að tilgreina ip og tcp valkosti, sem og sctp klumpur: set s5 { typeof ip option ra value elements = { 1, 1024 } } set s7 { typeof sctp chunk init num-inbound-streams elements = { 1, 4 } } keðja c5 { ip valkostur ra gildi @s5 samþykkja } keðja c7 { sctp chunk init num-innleið-straumar @s7 samþykkja }
- Bætti við stuðningi við TCP valkosti fastopen, md5sig og mptcp.
- Bætt við stuðningi við að nota mp-tcp undirgerðina í kortlagningum: tcp valkostur mptcp undirgerð 1
- Bættur síunarkóði á kjarnahlið.
- Flowtable hefur nú fullan stuðning fyrir JSON sniðið.
- Möguleikinn á að nota „hafna“ aðgerðina í Ethernet rammasamsvörun hefur verið veitt. eter saddr aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 hafna
Heimild: opennet.ru