ProHoster > Блог > warta internet > nftables packet filter 1.0.5 release

nftables packet filter 1.0.5 release

Rilis packet filter nftables 1.0.5 wis diterbitake, nyawiji antarmuka panyaring paket kanggo IPv4, IPv6, ARP lan jembatan jaringan (kanggo ngganti iptables, ip6table, arptables lan ebtables). Ing wektu sing padha, release saka perpustakaan pendamping libnftnl 1.2.3 diterbitake, nyedhiyakake API tingkat rendah kanggo sesambungan karo subsistem nf_tables.

Paket nftables ngemot komponen filter paket sing beroperasi ing ruang panganggo, dene kerja tingkat kernel diwenehake dening subsistem nf_tables, sing minangka bagean saka kernel. Linux Wiwit rilis 3.13, mung antarmuka generik sing ora gumantung karo protokol sing disedhiyakake ing tingkat kernel, sing nyedhiyakake fungsi dhasar kanggo ngekstrak data saka paket, nindakake operasi data, lan kontrol aliran.

Aturan panyaring dhewe lan pawang khusus protokol dikompilasi dadi bytecode ing ruang panganggo, sawise bytecode iki dimuat menyang kernel nggunakake antarmuka Netlink lan dieksekusi ing kernel kanthi cara khusus. mesin virtual, kaya BPF (Berkeley Packet Filters). Pendekatan iki ngidini pangurangan sing signifikan ing ukuran kode panyaring sing mlaku ing tingkat kernel lan mindhah kabeh parsing aturan lan logika protokol menyang ruang pangguna.

Owah-owahan utama:

  • Ing aturan optimizer, disebut nalika nemtokake "-o / - ngoptimalake" pilihan, masalah karo aturan nggabungke, peta lan nyetel dhaftar wis ditanggulangi. # cat ruleset.nft table ip x { chain y { type nat hook postrouting priority srcnat; mundhut kawicaksanan; ip saddr 1.1.1.1 tcp dport 8000 snat kanggo 4.4.4.4:80 ip saddr 2.2.2.2 tcp dport 8001 snat kanggo 5.5.5.5:90 }} # nft -o -c -f ruleset.nft. :4-3: ip saddr 52 tcp dport 1.1.1.1 snat kanggo 8000:4.4.4.4 ruleset.nft: 80:5-3: ip saddr 52 tcp dport 2.2.2.2 snat kanggo 8001:5.5.5.5 saddr. peta tcp dport {90. 1.1.1.1: 8000. 4.4.4.4, 80. 2.2.2.2: 8001. 5.5.5.5}
  • Nalika nggabungake unsur ethernet lan vlan, ditetepake dhaptar set dinamis, diisi adhedhasar paramèter path paket. nambah meja netdev x nambah chain netdev xy {jinis pancing pancing ingress piranti enp0s25 prioritas 0; } nambah set netdev x macset {typeof ether daddr. vlan id; gendéra dinamis, wektu entek; } nambah aturan netdev xy nganyari @macset {ether daddr. vlan id wektu entek 60s } nambah aturan netdev xy ether saddr . id vlan { 0a:0b:0c:0d:0e:0f . 42, 0a:0b:0c:0d:0e:0f . 4095 } counter nampa
  • Tampilan aturan kanthi dhaptar peta sing ngemot topeng ing jeneng antarmuka wis disetel. filter inet tabel { chain INPUT { iifname vmap { "eth0" : jump input_lan, "wg*" : jump input_vpn } } chain input_lan {} chain input_vpn {} }
  • Owah-owahan regresif sing ndadékaké parsing leksikal sing salah saka aturan sing bener wis diilangi.
  • Masalah karo pangolahan alon lan nggabungake otomatis dhaptar gedhe kanthi unsur sing nemtokake kisaran nilai wis dirampungake.
  • Kacilakan tetep nalika nambahake unsur menyang dhaptar sing salah.

Source: opennet.ru

Tuku hosting sing dipercaya kanggo situs kanthi proteksi DDoS, server VPS VDS 🔥 Tuku hosting situs web sing bisa dipercaya nganggo proteksi DDoS, server VPS VDS | ProHoster