nftables პაკეტის ფილტრის გამოშვება 1.0.2

გამოქვეყნდა პაკეტის ფილტრის nftables 1.0.2 გამოშვება, რომელიც აერთიანებს პაკეტების ფილტრაციის ინტერფეისებს IPv4, IPv6, ARP და ქსელის ხიდებისთვის (მიზნად ისახავს iptables, ip6table, arptables და ebtables ჩანაცვლებას). nftables 1.0.2-ის მუშაობისთვის საჭირო ცვლილებები შედის Linux kernel 5.17-rc-ში.

nftables პაკეტი მოიცავს მომხმარებლის სივრცის პაკეტის ფილტრის კომპონენტებს, ხოლო ბირთვის დონის მუშაობას უზრუნველყოფს nf_tables ქვესისტემა, რომელიც Linux-ის ბირთვის ნაწილია 3.13 გამოშვების შემდეგ. ბირთვის დონე უზრუნველყოფს მხოლოდ ზოგად პროტოკოლისგან დამოუკიდებელ ინტერფეისს, რომელიც უზრუნველყოფს ძირითად ფუნქციებს პაკეტებიდან მონაცემების ამოსაღებად, მონაცემთა ოპერაციების შესასრულებლად და ნაკადის კონტროლისთვის.

ფილტრაციის წესები და პროტოკოლის სპეციფიკური დამმუშავებლები შედგენილია მომხმარებლის სივრცეში ბაიტეკოდში, რის შემდეგაც ეს ბაიტი იტვირთება ბირთვში Netlink ინტერფეისის გამოყენებით და შესრულებულია ბირთვში სპეციალურ ვირტუალურ მანქანაში, რომელიც მოგვაგონებს BPF-ს (Berkeley Packet Filters). ეს მიდგომა საშუალებას გაძლევთ მნიშვნელოვნად შეამციროთ ბირთვის დონეზე გაშვებული ფილტრაციის კოდის ზომა და გადაიტანოთ პროტოკოლებთან მუშაობის წესებისა და ლოგიკის ყველა ფუნქცია მომხმარებლის სივრცეში.

ძირითადი ინოვაციები:

• დამატებულია წესების ოპტიმიზაციის რეჟიმი, რომელიც ჩართულია ახალი "-o" ("--ოპტიმიზაცია") ოფციის გამოყენებით, რომელიც შეიძლება გაერთიანდეს "--შემოწმების" ოფციასთან წესების ფაილში ცვლილებების შესამოწმებლად და ოპტიმიზაციის მიზნით, მისი რეალურად ჩატვირთვის გარეშე. . ოპტიმიზაცია საშუალებას გაძლევთ დააკავშიროთ მსგავსი წესები, მაგალითად, წესები: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 მიიღეთ meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 მიიღეთ ip daddr .1.1.1.1 ip daddr .2.2.2.2. .2.2.2.2 მიიღე ip saddr 3.3.3.3 ip daddr XNUMX ვარდნა

  გაერთიანდება მეტა iifname-ში. ip sadr. ip daddr { eth1. 1.1.1.1. 2.2.2.3, eth1. 1.1.1.2. 2.2.2.5 } მიიღე ip saddr. ip daddr vmap {1.1.1.1. 2.2.2.2: მიღება, 2.2.2.2. 3.3.3.3: ჩამოგდება }

  გამოყენების მაგალითი: # nft -c -o -f ruleset.test შერწყმა: ruleset.nft:16:3-37: ip daddr 192.168.0.1 მრიცხველი მიიღოს ruleset.nft:17:3-37: ip daddr 192.168.0.2 მრიცხველი მიღება ruleset.nft:18:3-37: ip daddr 192.168.0.3 მრიცხველის მიღება: ip daddr {192.168.0.1, 192.168.0.2, 192.168.0.3 } მრიცხველის პაკეტები 0 ბაიტი 0 მიღება

• კომპლექტის სიები ახორციელებს ip და tcp პარამეტრების დაზუსტების უნარს, ასევე sctp ნაწილებს: set s5 { typeof ip option ra value elements = { 1, 1024 } } set s7 { typeof sctp chunk init num-inbound-streams element = { 1, 4 } } ჯაჭვი c5 { ip ვარიანტი ra მნიშვნელობა @s5 მიღება } ჯაჭვი c7 { sctp chunk init num-inbound-streams @s7 მიღება }
• დამატებულია მხარდაჭერა TCP პარამეტრების fastopen, md5sig და mptcp.
• დამატებულია მხარდაჭერა mp-tcp ქვეტიპის გამოყენებისთვის რუკებში: tcp ვარიანტი mptcp ქვეტიპი 1
• გაუმჯობესებული ბირთვის ფილტრის კოდი.
• Flowtable-ს ახლა აქვს JSON ფორმატის სრული მხარდაჭერა.
• უზრუნველყოფილია მოქმედების „უარის“ გამოყენების შესაძლებლობა Ethernet ჩარჩოს შესატყვის ოპერაციებში. ether saddr aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 უარყოფა

წყარო: opennet.ru