ការចេញផ្សាយតម្រងកញ្ចប់ព័ត៌មាន nftables 1.0.6

ការចេញផ្សាយនៃតម្រងកញ្ចប់ព័ត៌មាន nftables 1.0.6 ត្រូវបានបោះពុម្ព ដោយបង្រួបបង្រួមចំណុចប្រទាក់តម្រងកញ្ចប់ព័ត៌មានសម្រាប់ IPv4, IPv6, ARP និងស្ពានបណ្តាញ (មានគោលបំណងជំនួស iptables, ip6table, arptables និង ebtables)។ កញ្ចប់ nftables រួមមានសមាសធាតុតម្រងកញ្ចប់ដែលដំណើរការក្នុងចន្លោះអ្នកប្រើប្រាស់ ខណៈពេលដែលការងារកម្រិតខឺណែលត្រូវបានផ្តល់ដោយប្រព័ន្ធរង nf_tables ដែលជាផ្នែកមួយនៃខឺណែលលីនុចចាប់តាំងពីការចេញផ្សាយ 3.13 ។ កម្រិតខឺណែលផ្តល់តែចំណុចប្រទាក់ឯករាជ្យនៃពិធីការទូទៅដែលផ្តល់មុខងារជាមូលដ្ឋានសម្រាប់ការទាញយកទិន្នន័យពីកញ្ចប់ព័ត៌មាន ប្រតិបត្តិការទិន្នន័យ និងការគ្រប់គ្រងលំហូរ។

ច្បាប់នៃការច្រោះ និងអ្នកដោះស្រាយតាមពិធីការជាក់លាក់ត្រូវបានចងក្រងជា bytecode ក្នុងចន្លោះអ្នកប្រើប្រាស់ បន្ទាប់មក bytecode នេះត្រូវបានផ្ទុកទៅក្នុងខឺណែលដោយប្រើចំណុចប្រទាក់ Netlink ហើយត្រូវបានប្រតិបត្តិក្នុងខឺណែលនៅក្នុងម៉ាស៊ីននិម្មិតពិសេសដែលនឹកឃើញដល់ BPF (Berkeley Packet Filters)។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកកាត់បន្ថយយ៉ាងខ្លាំងនូវទំហំនៃកូដត្រងដែលកំពុងដំណើរការនៅកម្រិតខឺណែល ហើយផ្លាស់ទីមុខងារទាំងអស់នៃច្បាប់ញែក និងតក្កវិជ្ជាសម្រាប់ធ្វើការជាមួយពិធីការទៅក្នុងទំហំអ្នកប្រើប្រាស់។

ការផ្លាស់ប្តូរសំខាន់ៗ៖

• កម្មវិធីបង្កើនប្រសិទ្ធភាពច្បាប់ ដែលហៅថានៅពេលដែលជម្រើស "-o/-optimize" ត្រូវបានបញ្ជាក់ មានការវេចខ្ចប់ដោយស្វ័យប្រវត្តិនូវច្បាប់ដោយផ្សំពួកវា និងបំប្លែងពួកវាទៅជាផែនទី និងកំណត់បញ្ជី។ ឧទាហរណ៍ ច្បាប់ # cat ruleset.nft តារាង ip x { chain y { type filter hook input priority filter; ការធ្លាក់ចុះគោលនយោបាយ; meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 ទទួលយក meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4 ទទួលយក meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.3.0eth24. .1 ip daddr 1.1.1.2-2.2.4.0 ទទួលយក meta iifname eth2.2.4.10 ip saddr 2 ip daddr 1.1.1.3 ទទួលយក } } បន្ទាប់ពីប្រតិបត្តិ "nft -o -c -f ruleset.nft" នឹងត្រូវបានបំប្លែងទៅជាដូចខាងក្រោម៖ ruleset ។ : 2.2.2.5:4-17: meta iifname eth74 ip saddr 1 ip daddr 1.1.1.1/2.2.2.3 ទទួលយក ruleset.nft:5:17-74: meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4-6. ទទួលយក ruleset.nft:17:77-1៖ meta iifname eth1.1.1.2 ip saddr 2.2.3.0 ip daddr 24 ទទួលយកទៅក្នុង៖ iifname ។ ip saddr ។ ip daddr { eth7 . ១.១.១.១. 17, eth83 ។ ១.១.១.២. 1, eth1.1.1.2 ។ ១.១.១.២. 2.2.4.0/2.2.4.10, eth8 ។ ១.១.១.២. 17-74, eth2 ។ ១.១.១.៣. 1.1.1.3 } ទទួលយក
• កម្មវិធីបង្កើនប្រសិទ្ធភាពក៏អាចបំប្លែងច្បាប់ដែលប្រើបញ្ជីសំណុំសាមញ្ញរួចហើយទៅជាទម្រង់បង្រួមបន្ថែមទៀត ឧទាហរណ៍ច្បាប់៖ # cat ruleset.nft table ip filter { chain input { type filter hook input priority filter; ការធ្លាក់ចុះគោលនយោបាយ; iifname “lo” ទទួលយករដ្ឋ ct ត្រូវបានបង្កើតឡើង ពាក់ព័ន្ធទទួលយកមតិ “នៅក្នុងចរាចរដែលយើងមានប្រភព យើងទុកចិត្ត” iifname “enp0s31f6” ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 udp 123 32768 iifname "enp65535s0f31" ip saddr { 6, 64.59.144.17 } ip daddr 64.59.150.133 udp sport 10.0.0.149 udp dport 53-32768 ទទួលយក } "}" -nfet exefocuting rules : ruleset.nft:65535:6-22: iifname "enp149s0f31" ip saddr { 6, 209.115.181.102 } ip daddr 216.197.228.230 udp sport 10.0.0.149-port123.p -១៤៣ : iifname "enp32768s65535f7" ip saddr { 22, 143 } ip daddr 0 udp sport 31 udp dport 6-64.59.144.17 ទទួលយកទៅក្នុង៖ iifname ip saddr ។ អាយភី ប៉ា កីឡា udp ។ udp dport { enp64.59.150.133s10.0.0.149f53 . 32768 ។ ១០.០.០.១៤៩។ ១២៣. 65535-0, enp31s6f209.115.181.102 ។ 10.0.0.149. ១០.០.០.១៤៩។ ១២៣. 123-32768, enp65535s0f31 ។ ៦៤.៥៩.១៤៤.១៧. ១០.០.០.១៤៩។ ៥៣. 6-216.197.228.230, enp10.0.0.149s123f32768 ។ ៦៤.៥៩.១៥០.១៣៣. ១០.០.០.១៤៩។ ៥៣. 65535-0 } ទទួលយក
• បានដោះស្រាយបញ្ហាជាមួយការបង្កើត bytecode សម្រាប់ចន្លោះពេលបញ្ចូលគ្នាដែលប្រើប្រភេទដែលមានលំដាប់បៃផ្សេងគ្នាដូចជា IPv4 (លំដាប់បៃបណ្តាញ) និងសញ្ញាមេតា (លំដាប់បៃប្រព័ន្ធ)។ តារាង ip x { ផែនទី w { ប្រភេទ ip saddr . សញ្ញាមេតា : សាលក្រមទង់ធាតុរាប់ចន្លោះពេល = { 127.0.0.1-127.0.0.4 . 0x123434-0xb00122 : ទទួលយក 192.168.0.10-192.168.1.20 ។ 0x0000aa00-0x0000aaff : ទទួលយក, } } ខ្សែសង្វាក់ k { ប្រភេទតម្រងទំពក់បញ្ចូលតម្រងអាទិភាព; ការធ្លាក់ចុះគោលនយោបាយ; ip saddr ។ សញ្ញាមេតា vmap @w } }
• ធ្វើឱ្យប្រសើរឡើងនូវការប្រៀបធៀបនៃពិធីការដ៏កម្រ នៅពេលប្រើកន្សោមឆៅ ឧទាហរណ៍៖ meta l4proto 91 @th,400,16 0x0 ទទួលយក
• បញ្ហាជាមួយនឹងការបើកដំណើរការនៅចន្លោះពេលត្រូវបានដោះស្រាយ៖ បញ្ចូលច្បាប់ xy tcp sport { 3478-3497, 16384-16387 } counter accept
• JSON API ត្រូវបានធ្វើឱ្យប្រសើរឡើងដើម្បីរួមបញ្ចូលការគាំទ្រសម្រាប់កន្សោមនៅក្នុងបញ្ជីសំណុំ និងផែនទី។
• ផ្នែកបន្ថែមទៅបណ្ណាល័យ python nftables អនុញ្ញាតឱ្យផ្ទុកសំណុំច្បាប់សម្រាប់ដំណើរការក្នុងរបៀបសុពលភាព ("-c") និងបន្ថែមការគាំទ្រសម្រាប់និយមន័យខាងក្រៅនៃអថេរ។
• ការបន្ថែមមតិត្រូវបានអនុញ្ញាតនៅក្នុងធាតុបញ្ជីដែលបានកំណត់។
• ដែនកំណត់អត្រាបៃអនុញ្ញាតឱ្យបញ្ជាក់តម្លៃសូន្យ។

ប្រភព: opennet.ru