ការចេញផ្សាយតម្រងកញ្ចប់ព័ត៌មាន nftables 0.9.9

ការចេញផ្សាយនៃតម្រងកញ្ចប់ព័ត៌មាន nftables 0.9.9 ត្រូវបានបោះពុម្ព ដោយបង្រួបបង្រួមចំណុចប្រទាក់តម្រងកញ្ចប់ព័ត៌មានសម្រាប់ IPv4, IPv6, ARP និងស្ពានបណ្តាញ (មានគោលបំណងជំនួស iptables, ip6table, arptables និង ebtables) ។ ក្នុងពេលជាមួយគ្នានោះ ការចេញផ្សាយបណ្ណាល័យដៃគូ libnftnl 1.2.0 ត្រូវបានបោះពុម្ពដោយផ្តល់នូវ API កម្រិតទាបសម្រាប់អន្តរកម្មជាមួយប្រព័ន្ធរង nf_tables ។ ការផ្លាស់ប្តូរដែលត្រូវការសម្រាប់ការចេញផ្សាយ nftables 0.9.9 ដើម្បីដំណើរការត្រូវបានរួមបញ្ចូលនៅក្នុងខឺណែលលីនុច 5.13-rc1 ។

កញ្ចប់ nftables រួមមានសមាសធាតុតម្រងកញ្ចប់ដែលដំណើរការក្នុងចន្លោះអ្នកប្រើប្រាស់ ខណៈពេលដែលការងារកម្រិតខឺណែលត្រូវបានផ្តល់ដោយប្រព័ន្ធរង nf_tables ដែលជាផ្នែកមួយនៃខឺណែលលីនុចចាប់តាំងពីការចេញផ្សាយ 3.13 ។ កម្រិតខឺណែលផ្តល់តែចំណុចប្រទាក់ឯករាជ្យនៃពិធីការទូទៅដែលផ្តល់មុខងារជាមូលដ្ឋានសម្រាប់ការទាញយកទិន្នន័យពីកញ្ចប់ព័ត៌មាន ប្រតិបត្តិការទិន្នន័យ និងការគ្រប់គ្រងលំហូរ។

ច្បាប់នៃការច្រោះ និងអ្នកដោះស្រាយតាមពិធីការជាក់លាក់ត្រូវបានចងក្រងជា bytecode ក្នុងចន្លោះអ្នកប្រើប្រាស់ បន្ទាប់មក bytecode នេះត្រូវបានផ្ទុកទៅក្នុងខឺណែលដោយប្រើចំណុចប្រទាក់ Netlink ហើយត្រូវបានប្រតិបត្តិក្នុងខឺណែលនៅក្នុងម៉ាស៊ីននិម្មិតពិសេសដែលនឹកឃើញដល់ BPF (Berkeley Packet Filters)។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកកាត់បន្ថយយ៉ាងខ្លាំងនូវទំហំនៃកូដត្រងដែលកំពុងដំណើរការនៅកម្រិតខឺណែល ហើយផ្លាស់ទីមុខងារទាំងអស់នៃច្បាប់ញែក និងតក្កវិជ្ជាសម្រាប់ធ្វើការជាមួយពិធីការទៅក្នុងទំហំអ្នកប្រើប្រាស់។

ការច្នៃប្រឌិតសំខាន់ៗ៖

• សមត្ថភាពក្នុងការផ្លាស់ទីដំណើរការតារាងលំហូរទៅផ្នែកអាដាប់ទ័របណ្តាញត្រូវបានអនុវត្ត បើកដោយប្រើទង់ 'offload' ។ Flowtable គឺជាយន្តការសម្រាប់បង្កើនប្រសិទ្ធភាពផ្លូវនៃការបញ្ជូនបន្តកញ្ចប់ព័ត៌មាន ដែលការឆ្លងកាត់ពេញលេញនៃខ្សែសង្វាក់ដំណើរការច្បាប់ទាំងអស់ត្រូវបានអនុវត្តតែចំពោះកញ្ចប់ព័ត៌មានដំបូងប៉ុណ្ណោះ ហើយកញ្ចប់ព័ត៌មានផ្សេងទៀតទាំងអស់នៅក្នុងលំហូរត្រូវបានបញ្ជូនបន្តដោយផ្ទាល់។ តារាង ip សកល { flowtable f { hook ingress priority filter + 1 devices = { lan3, lan0, wan } flags offload } chain forward { type filter hook forward priority filter; គោលនយោបាយទទួលយក; ip protocol { tcp, udp } flow add @f } chain post { type nat hook postrouting priority filter; គោលនយោបាយទទួលយក; oifname "wan" masquerade } }
• បានបន្ថែមការគាំទ្រសម្រាប់ការភ្ជាប់ទង់ម្ចាស់ទៅនឹងតារាង ដើម្បីធានាការប្រើប្រាស់តារាងផ្តាច់មុខដោយដំណើរការមួយ។ នៅពេលដំណើរការបញ្ចប់ តារាងដែលភ្ជាប់ជាមួយវាត្រូវបានលុបដោយស្វ័យប្រវត្តិ។ ព័ត៌មានអំពីដំណើរការត្រូវបានបង្ហាញនៅក្នុងច្បាប់បោះចោលក្នុងទម្រង់ជាមតិយោបល់៖ តារាង ip x { # progname nft flags owner chain y { type filter hook input priority filter; គោលនយោបាយទទួលយក; កញ្ចប់បញ្ជរ 1 បៃ 309 } }
• បានបន្ថែមការគាំទ្រសម្រាប់ការបញ្ជាក់ IEEE 802.1ad (VLAN stacking ឬ QinQ) ដែលកំណត់មធ្យោបាយសម្រាប់ការជំនួសស្លាក VLAN ជាច្រើនទៅក្នុងស៊ុមអ៊ីសឺរណិតតែមួយ។ ឧទាហរណ៍ ដើម្បីពិនិត្យមើលប្រភេទនៃស៊ុម Ethernet ខាងក្រៅ 8021ad និង vlan id=342 អ្នកអាចប្រើសំណង់ ... ប្រភេទ ether 802.1ad vlan id 342 ដើម្បីពិនិត្យមើលប្រភេទខាងក្រៅនៃ Ethernet frame 8021ad/vlan id=1, nested 802.1 q/vlan id=2 និងបន្ថែម IP packet encapsulation: ... ប្រភេទ ether 8021ad vlan id 1 vlan type 8021q vlan id 2 vlan type ip counter
• បានបន្ថែមការគាំទ្រសម្រាប់ការគ្រប់គ្រងធនធានដោយប្រើឋានានុក្រមបង្រួបបង្រួម cgroups v2. ភាពខុសគ្នាសំខាន់រវាង cgroups v2 និង v1 គឺការប្រើប្រាស់ឋានានុក្រម cgroups ទូទៅសម្រាប់ធនធានគ្រប់ប្រភេទ ជំនួសឱ្យឋានានុក្រមដាច់ដោយឡែកសម្រាប់បែងចែកធនធាន CPU សម្រាប់គ្រប់គ្រងការប្រើប្រាស់អង្គចងចាំ និងសម្រាប់ I/O ។ ឧទាហរណ៍ ដើម្បីពិនិត្យមើលថាតើបុព្វបុរសនៃរន្ធនៅកម្រិតទីមួយ cgroupv2 ត្រូវគ្នានឹងរបាំង "system.slice" អ្នកអាចប្រើសំណង់៖ ... រន្ធ cgroupv2 កម្រិតទី 1 "system.slice"
• បានបន្ថែមសមត្ថភាពក្នុងការពិនិត្យមើលសមាសធាតុនៃកញ្ចប់ SCTP (មុខងារដែលត្រូវការសម្រាប់វានឹងបង្ហាញនៅក្នុងខឺណែលលីនុច 5.14)។ ឧទាហរណ៍ ដើម្បីពិនិត្យមើលថាតើកញ្ចប់ព័ត៌មានមានកំណាត់ប្រភេទ 'ទិន្នន័យ' និងវាល 'ប្រភេទ'៖ ... ទិន្នន័យកំណាត់ sctp មាន ... sctp កំណាត់ទិន្នន័យប្រភេទ 0
• ការប្រតិបត្តិនៃប្រតិបត្តិការផ្ទុកច្បាប់ត្រូវបានបង្កើនល្បឿនប្រហែល 2 ដងដោយប្រើទង់ "-f" ។ លទ្ធផលនៃបញ្ជីច្បាប់ក៏ត្រូវបានពន្លឿនផងដែរ។
• ទម្រង់បង្រួមសម្រាប់ពិនិត្យមើលថាតើប៊ីតទង់ត្រូវបានកំណត់ត្រូវបានកំណត់ឬអត់។ ឧទាហរណ៍ ដើម្បីពិនិត្យមើលថាប៊ីតស្ថានភាព snat និង dnat មិនត្រូវបានកំណត់ អ្នកអាចបញ្ជាក់៖ ... ស្ថានភាព ct ! snat,dnat ដើម្បីពិនិត្យមើលថា syn bit ត្រូវបានកំណត់នៅក្នុង bitmask syn,ack: ... tcp flags syn / syn,ack ដើម្បីពិនិត្យមើលថា fin និង rst bits មិនត្រូវបានកំណត់នៅក្នុង bitmask syn,ack,fin,rst: ... ទង់ tcp ! = fin, rst / syn, ack, fin, rst
• អនុញ្ញាតឱ្យពាក្យគន្លឹះ "សាលក្រម" នៅក្នុងការកំណត់ប្រភេទ/ផែនទី និយមន័យ៖ បន្ថែមផែនទី xm { typeof iifname . ពិធីការ ip th dport : សាលក្រម ;}

ប្រភព: opennet.ru