แแแแแฅแแแงแแแ แแแแแขแแก แคแแแขแ แแก nftables 0.9.9 แแแแแจแแแแ, แ แแแแแแช แแแ แแแแแแแก แแแแแขแแแแก แคแแแขแ แแชแแแก แแแขแแ แคแแแกแแแก IPv4, IPv6, ARP แแ แฅแกแแแฃแ แ แฎแแแแแแกแแแแก (แแแแแแ แแกแแฎแแแก iptables, ip6table, arptables แแ ebtables แฉแแแแชแแแแแแก). แแแแแ แแ แแก, แแแแแฅแแแงแแแ แแแแแแแแแแ แแแแแแแแแแแก libnftnl 1.2.0 แแแแแจแแแแ, แ แแแแแแช แฃแแ แฃแแแแแงแแคแก แแแแแแ แแแแแก API-แก nf_tables แฅแแแกแแกแขแแแแกแแแ แฃแ แแแแ แแแแแกแแแแก. nftables 0.9.9-แแก แแฃแจแแแแแกแแแแก แกแแญแแ แ แชแแแแแแแแแ แจแแแแก Linux kernel 5.13-rc1-แจแ.
nftables แแแแแขแ แแแแชแแแก แแแแฎแแแ แแแแแก แกแแแ แชแแก แแแแแขแแก แคแแแขแ แแก แแแแแแแแแขแแแก, แฎแแแ แแแ แแแแก แแแแแก แแฃแจแแแแแก แฃแแ แฃแแแแแงแแคแก nf_tables แฅแแแกแแกแขแแแ, แ แแแแแแช Linux-แแก แแแ แแแแก แแแฌแแแแ 3.13 แแแแแจแแแแแก แจแแแแแ. แแแ แแแแก แแแแ แฃแแ แฃแแแแแงแแคแก แแฎแแแแ แแแแแ แแ แแขแแแแแแกแแแ แแแแแฃแแแแแแแ แแแขแแ แคแแแกแก, แ แแแแแแช แฃแแ แฃแแแแแงแแคแก แซแแ แแแแ แคแฃแแฅแชแแแแก แแแแแขแแแแแแ แแแแแชแแแแแแก แแแแกแแฆแแแแ, แแแแแชแแแแ แแแแ แแชแแแแแก แจแแกแแกแ แฃแแแแแแ แแ แแแแแแแก แแแแขแ แแแแกแแแแก.
แคแแแขแ แแชแแแก แฌแแกแแแ แแ แแ แแขแแแแแแก แกแแแชแแคแแแฃแ แ แแแแแฃแจแแแแแแแแ แจแแแแแแแแแ แแแแฎแแแ แแแแแก แกแแแ แชแแจแ แแแแขแแแแแจแ, แ แแก แจแแแแแแแช แแก แแแแขแ แแขแแแ แแแแ แแแ แแแจแ Netlink แแแขแแ แคแแแกแแก แแแแแงแแแแแแ แแ แจแแกแ แฃแแแแฃแแแ แแแ แแแจแ แกแแแชแแแแฃแ แแแ แขแฃแแแฃแ แแแแฅแแแแจแ, แ แแแแแแช แแแแแแแแแแแก BPF-แก (Berkeley Packet Filters). แแก แแแแแแแ แกแแจแฃแแแแแแก แแแซแแแแ แแแแจแแแแแแแแแ แจแแแแชแแ แแ แแแ แแแแก แแแแแแ แแแจแแแแฃแแ แคแแแขแ แแชแแแก แแแแแก แแแแ แแ แแแแแแขแแแแ แแ แแขแแแแแแแแแ แแฃแจแแแแแก แฌแแกแแแแกแ แแ แแแแแแแก แงแแแแ แคแฃแแฅแชแแ แแแแฎแแแ แแแแแก แกแแแ แชแแจแ.
แซแแ แแแแแ แแแแแแชแแแแ:
- แแแแแ แแแแแ flowtable แแแแฃแจแแแแแแก แฅแกแแแแก แแแแแขแแ แแก แแฎแแ แแก แแแแแขแแแแก แจแแกแแซแแแแแแแ, แฉแแ แแฃแแแ "แฉแแแแขแแแ แแแแก" แแ แแจแแก แแแแแงแแแแแแ. Flowtable แแ แแก แแแแแขแแก แแแแแแแกแแแแ แแแแแก แแแแก แแแขแแแแแแชแแแก แแแฅแแแแแแ, แ แแแแแจแแช แงแแแแ แฌแแกแแก แแแแฃแจแแแแแแก แฏแแญแแแก แกแ แฃแแ แแแแแ แแแแแแงแแแแแ แแฎแแแแ แแแ แแแ แแแแแขแแ, แฎแแแ แแแแแแแก แงแแแแ แกแฎแแ แแแแแขแ แแแ แแแแแ แแแแแแแแแแแแแ. แชแฎแ แแแ ip แแแแแแแฃแ แ { flowtable f { hook ingress แแ แแแ แแขแแขแฃแแ แคแแแขแ แ + 1 แแแฌแงแแแแแแแ = { lan3, lan0, wan } flags offload } chain forward { type filter hook forward priority filter; แแแแแขแแแแก แแแฆแแแ; ip แแ แแขแแแแแ { tcp, udp } flow add @f } chain post { type nat hook postrouting priority filter; แแแแแขแแแแก แแแฆแแแ; oifname "wan" แแแกแแแ แแแ } }
- แแแแแแขแ แแฎแแ แแแญแแ แ แแคแแแแแแแก แแ แแจแแก แแแแแแแแ แแแแแแ แแแแกแแแแก, แ แแแ แฃแแ แฃแแแแแงแแก แชแฎแ แแแแก แแฅแกแแแฃแแแฃแ แ แแแแแงแแแแแ แแ แแชแแกแแ. แ แแแแกแแช แแ แแชแแกแ แแแแแ แแแแ, แแแกแแแ แแแแแแจแแ แแแฃแแ แชแฎแ แแแ แแแขแแแแขแฃแ แแ แแจแแแแ. แแแคแแ แแแชแแ แแ แแชแแกแแก แจแแกแแฎแแ แแแฉแแแแแแแ แฌแแกแแแแก แแแแแแกแแงแ แแแจแ แแแแแแขแแ แแก แกแแฎแแ: แชแฎแ แแแ ip x { # progname nft flags แแคแแแแแแ แฏแแญแแ y { type filter hook input priority filter; แแแแแขแแแแก แแแฆแแแ; แแ แแชแฎแแแแแก แแแแแขแแแ 1 แแแแขแ 309 } }
- แแแแแขแแแฃแแแ แแฎแแ แแแญแแ แ IEEE 802.1ad แกแแแชแแคแแแแชแแแกแแแแก (VLAN stacking แแ QinQ), แ แแแแแแช แแแแกแแแฆแแ แแแก แกแแจแฃแแแแแแก แฉแแแแแชแแแแก แแ แแแแแ VLAN แขแแแ แแ แ Ethernet แฉแแ แฉแแจแ. แแแแแแแแแ, แแแ แ Ethernet แฉแแ แฉแแก แขแแแแก แจแแกแแแแฌแแแแแแ 8021ad แแ vlan id=342, แจแแแแซแแแแ แแแแแแงแแแแ แแแแกแขแ แฃแฅแชแแ ... ether type 802.1ad vlan id 342, แ แแแ แจแแแแแฌแแแ Ethernet แฉแแ แฉแแก แแแ แ แขแแแ 8021ad/vlan id=1, แฉแแกแแฃแแ 802.1. q/vlan id=2 แแ แจแแแแแแแ IP แแแแแขแแก แแแแแคแกแฃแแแชแแ: ... แแแแ แ แขแแแ 8021ad vlan id 1 vlan แขแแแ 8021q vlan id 2 vlan แขแแแแก ip แแ แแชแฎแแแแ
- แแแแแขแแแฃแแแ แ แแกแฃแ แกแแแแก แแแ แแแแก แแฎแแ แแแญแแ แ แแ แแแแแ แแแ แแ แฅแแแก cgroups v2. cgroups v2 แแ v1-แก แจแแ แแก แแแแแแ แ แแแแกแฎแแแแแแแ แกแแแ แแ cgroups แแแ แแ แฅแแแก แแแแแงแแแแแ แงแแแแ แขแแแแก แ แแกแฃแ แกแแกแแแแก, แชแแแแแฃแแ แแแ แแ แฅแแแแแก แแแชแแแแ CPU แ แแกแฃแ แกแแแแก แแแแแงแแคแแกแแแแก, แแแฎแกแแแ แแแแก แแแฎแแแ แแแแก แ แแแฃแแแ แแแแกแแแแก แแ I/O-แกแแแแก. แแแแแแแแแ, แแแแก แจแแกแแแแฌแแแแแแ, แแแแฎแแแแ แแฃ แแ แ แแแ แแแแ แแแแแก cgroupv2 แกแแแแขแแก แฌแแแแแแ แ โsystem.sliceโ แแแฆแแแก, แจแแแแซแแแแ แแแแแแงแแแแ แแแแกแขแ แฃแฅแชแแ: ... แกแแแแขแ cgroupv2 แแแแ 1 โsystem.sliceโ
- แแแแแขแแแฃแแแ SCTP แแแแแขแแแแก แแแแแแแแแขแแแแก แจแแแแฌแแแแแก แจแแกแแซแแแแแแแ (แแแแกแแแแก แกแแญแแ แ แคแฃแแฅแชแแแแแ แแแ แแแแแฉแแแแแ Linux 5.14 แแแ แแแจแ). แแแแแแแแแ, แแแแก แจแแกแแแแฌแแแแแแ, แจแแแชแแแก แแฃ แแ แ แแแแแขแก แแแแแ แขแแแแ 'data' แแ แแแแ 'type': ... sctp chunk data แแ แกแแแแแก ... sctp chunk แแแแแชแแแแ แขแแแ 0
- แฌแแกแแแแก แฉแแขแแแ แแแแก แแแแ แแชแแแก แจแแกแ แฃแแแแ แแแฉแฅแแ แแ แแแแฎแแแแแแ แแ แฏแแ โ-fโ แแ แแจแแก แแแแแงแแแแแแ. แแกแแแ แแแฉแฅแแ แแ แฌแแกแแแแก แกแแแก แแแแแขแแแ.
- แแแฌแแแแแฃแแแ แแแแแแฅแขแฃแ แ แคแแ แแ แแแแก แจแแกแแแแฌแแแแแแ, แแ แแก แแฃ แแ แ แแแงแแแแแฃแแ แแ แแจแแก แแแขแแแ. แแแแแแแแแ, แแแแก แจแแกแแแแฌแแแแแแ, แ แแ snat แแ dnat แกแขแแขแฃแกแแก แแแขแแแ แแ แแ แแก แแแงแแแแแฃแแ, แจแแแแซแแแแ แแแฃแแแแแ: ... ct status ! snat,dnat แ แแแ แจแแแแแฌแแแก, แ แแ syn bit แแแงแแแแแฃแแแ แแแขแแแกแแแก syn,ack: ... tcp flags syn / syn,ack แ แแแ แจแแแแแฌแแแก, แ แแ fin แแ rst แแแขแ แแ แแ แแก แแแงแแแแแฃแแ bitmask syn,ack,fin,rst: ... tcp flags ! = fin,rst / syn,ack,fin,rst
- แแแฃแจแแแ แกแแแแแแซแ แกแแขแงแแ "แแแแแฉแแแ" แแแแแแแฅแขแแก/แ แฃแแแก แขแแแแก แแแแแแ แขแแแแแจแ: แแแแแแขแแ แ แฃแแ xm { typeof iifname . ip แแ แแขแแแแแ th dport: แแแแแฉแแแ ;}
แฌแงแแ แ: opennet.ru