ProHoster > Блог > warta internet > nftables packet filter 0.9.9 release

nftables packet filter 0.9.9 release

Filter paket nftables 0.9.9 wis dirilis. Filter iki nyawijikake antarmuka panyaring paket kanggo IPv4, IPv6, ARP, lan jembatan jaringan (ditargetake minangka panggantos kanggo iptables, ip6table, arptables, lan ebtables). Pustaka libnftnl 1.2.0 sing diiringi, sing nyedhiyakake API tingkat rendah kanggo sesambungan karo subsistem nf_tables, wis dirilis bebarengan. Owah-owahan sing dibutuhake kanggo nftables 0.9.9 wis digabungake menyang kernel. Linux 5.13-rc1.

Paket nftables ngemot komponen filter paket sing beroperasi ing ruang panganggo, dene kerja tingkat kernel diwenehake dening subsistem nf_tables, sing minangka bagean saka kernel. Linux Wiwit rilis 3.13, mung antarmuka generik sing ora gumantung karo protokol sing disedhiyakake ing tingkat kernel, sing nyedhiyakake fungsi dhasar kanggo ngekstrak data saka paket, nindakake operasi data, lan kontrol aliran.

Aturan panyaring dhewe lan pawang khusus protokol dikompilasi dadi bytecode ing ruang panganggo, sawise bytecode iki dimuat menyang kernel nggunakake antarmuka Netlink lan dieksekusi ing kernel kanthi cara khusus. mesin virtual, kaya BPF (Berkeley Packet Filters). Pendekatan iki ngidini pangurangan sing signifikan ing ukuran kode panyaring sing mlaku ing tingkat kernel lan mindhah kabeh parsing aturan lan logika protokol menyang ruang pangguna.

Inovasi utama:

  • Kemampuan kanggo mindhah pangolahan flowtable menyang sisih adaptor jaringan wis dipun ginakaken, aktif nggunakake flag 'offload'. Flowtable minangka mekanisme kanggo ngoptimalake path redirection paket, ing ngendi jalur lengkap kabeh rantai pangolahan aturan ditrapake mung ing paket pisanan, lan kabeh paket liyane ing aliran kasebut diterusake langsung. table ip global {flowtable f {filter prioritas pancing ingress + 1 piranti = {lan3, lan0, wan} flag offload} chain maju {jinis filter pancing prioritas maju filter; kawicaksanan nampa; ip protokol {tcp, udp} aliran nambah @f} chain kirim {jinis nat pancing postrouting prioritas Filter; kawicaksanan nampa; oifname "wan" masquerade }}
  • Added support kanggo Masang gendéra pemilik kanggo meja kanggo mesthekake nggunakake eksklusif saka meja dening proses. Nalika proses mungkasi, tabel sing digandhengake kanthi otomatis dibusak. Informasi babagan proses ditampilake ing aturan mbucal ing wangun komentar: Tabel ip x {# progname nft flags pemilik chain y {jinis Filter pancingan prioritas input Filter; kawicaksanan nampa; paket counter 1 byte 309 }}
  • Dhukungan ditambahake kanggo spesifikasi IEEE 802.1ad (VLAN numpuk utawa QinQ), sing nemtokake cara kanggo ngganti sawetara tag VLAN menyang pigura Ethernet siji. Contone, kanggo mriksa jinis pigura Ethernet external 8021ad lan vlan id = 342, sampeyan bisa nggunakake construction ... jinis eter 802.1ad vlan id 342 kanggo mriksa jinis external pigura Ethernet 8021ad / vlan id = 1, nested 802.1 q/vlan id=2 lan enkapsulasi paket IP luwih lanjut: ... tipe eter 8021ad vlan id 1 tipe vlan 8021q vlan id 2 tipe vlan ip counter
  • Dhukungan sing ditambahake kanggo ngatur sumber daya nggunakake cgroups hirarki terpadu v2. Bentenipun tombol antarane cgroups v2 lan v1 nggunakake hirarki cgroups umum kanggo kabeh jinis sumber daya, tinimbang hirarki kapisah kanggo alokasi sumber daya CPU, kanggo ngatur konsumsi memori, lan kanggo I / O. Contone, kanggo mriksa apa leluhur saka soket ing cgroupv2 tingkat pisanan cocog topeng "system.slice", sampeyan bisa nggunakake construction: ... soket cgroupv2 tingkat 1 "system.slice"
  • Nambahake kemampuan kanggo mriksa komponen paket SCTP (fungsi sing dibutuhake kanggo operasi bakal katon ing kernel Linux 5.14). Contone, kanggo mriksa apa paket ngemot chunk kanthi tipe 'data' lan kolom 'type': … data chunk sctp ana … tipe data chunk sctp 0
  • Eksekusi operasi loading aturan wis digawe cepet kira-kira kaping pindho nggunakake gendera "-f". Output saka dhaptar aturan uga wis digawe cepet.
  • Wangun kompak kanggo mriksa apa bit gendera wis disetel. Contone, kanggo mriksa bit status snat lan dnat ora disetel, sampeyan bisa nemtokake: ... ct status ! snat,dnat kanggo mriksa yen bit syn wis disetel ing syn bitmask,ack: ... tcp flag syn / syn,ack kanggo mriksa yen bit sirip lan pisanan ora disetel ing syn bitmask,ack,fin,rst: ... tcp flag! = fin,rst / syn,ack,fin,rst
  • Ngidini tembung kunci "putusan" ing definisi set/map: tambahake peta xm {typeof iifname. protokol ip th dport: putusan ;}

Source: opennet.ru

Tuku hosting sing dipercaya kanggo situs kanthi proteksi DDoS, server VPS VDS 🔥 Tuku hosting situs web sing bisa dipercaya nganggo proteksi DDoS, server VPS VDS | ProHoster