ការចេញផ្សាយតម្រងកញ្ចប់ព័ត៌មាន nftables 0.9.4

បោះពុម្ពផ្សាយ ការចេញផ្សាយតម្រងកញ្ចប់ nftables 0.9.4ដែលកំពុងត្រូវបានបង្កើតឡើងជាការជំនួសសម្រាប់ iptables, ip6table, arptables និង ebtables ដោយការបង្រួបបង្រួមចំណុចប្រទាក់ច្រោះកញ្ចប់សម្រាប់ IPv4, IPv6, ARP និងស្ពានបណ្តាញ។ កញ្ចប់ nftables រួមបញ្ចូលសមាសធាតុតម្រងកញ្ចប់ដែលដំណើរការក្នុងទំហំអ្នកប្រើប្រាស់ ខណៈពេលដែលមុខងារកម្រិតខឺណែលត្រូវបានផ្តល់ដោយប្រព័ន្ធរង nf_tables ដែលជាផ្នែកមួយនៃខឺណែល។ Linux ដោយចាប់ផ្តើមជាមួយនឹងការចេញផ្សាយ 3.13 ការផ្លាស់ប្តូរដែលត្រូវការសម្រាប់ nftables 0.9.4 ដើម្បីដំណើរការត្រូវបានរួមបញ្ចូលនៅក្នុងសាខាខឺណែលដែលនឹងចេញនាពេលខាងមុខ។ Linux 5.6.

កម្រិតខឺណែលផ្តល់តែចំណុចប្រទាក់ឯករាជ្យនៃពិធីការទូទៅដែលផ្តល់មុខងារជាមូលដ្ឋានសម្រាប់ការទាញយកទិន្នន័យពីកញ្ចប់ព័ត៌មាន ប្រតិបត្តិការទិន្នន័យ និងការគ្រប់គ្រងលំហូរ។ ច្បាប់នៃការច្រោះ និងកម្មវិធីគ្រប់គ្រងជាក់លាក់នៃពិធីការត្រូវបានចងក្រងជា bytecode ក្នុងចន្លោះអ្នកប្រើប្រាស់ បន្ទាប់មក bytecode នេះត្រូវបានផ្ទុកទៅក្នុងខឺណែលដោយប្រើចំណុចប្រទាក់ Netlink ហើយត្រូវបានប្រតិបត្តិក្នុងខឺណែលនៅក្នុងម៉ាស៊ីននិម្មិតពិសេសដែលនឹកឃើញដល់ BPF (Berkeley Packet Filters)។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកកាត់បន្ថយយ៉ាងខ្លាំងនូវទំហំនៃកូដត្រងដែលកំពុងដំណើរការនៅកម្រិតខឺណែល ហើយផ្លាស់ទីមុខងារទាំងអស់នៃច្បាប់ញែក និងតក្កវិជ្ជាសម្រាប់ធ្វើការជាមួយពិធីការទៅក្នុងទំហំអ្នកប្រើប្រាស់។

ការច្នៃប្រឌិតសំខាន់ៗ៖

• ការ​គាំទ្រ​សម្រាប់​ជួរ​នៅ​ក្នុង​ការ​តភ្ជាប់ (ការ​ភ្ជាប់​ជា​កញ្ចប់​ជាក់លាក់​នៃ​អាសយដ្ឋាន​និង​ច្រក​ដែល​ធ្វើ​ឱ្យ​ការ​ប្រៀបធៀប​សាមញ្ញ​) ។ ឧទាហរណ៍ សម្រាប់សំណុំ "បញ្ជីស" ដែលមានធាតុជាឯកសារភ្ជាប់ ការបញ្ជាក់ទង់ "ចន្លោះពេល" នឹងបង្ហាញថាសំណុំអាចរួមបញ្ចូលជួរនៅក្នុងឯកសារភ្ជាប់ (សម្រាប់ឯកសារភ្ជាប់ "ipv4_addr . ipv4_addr . inet_service" វាពីមុនអាចរាយបញ្ជីពិតប្រាកដ ការផ្គូផ្គងទម្រង់ "192.168.10.35. 192.68.11.123" ហើយឥឡូវនេះអ្នកអាចបញ្ជាក់ក្រុមនៃអាសយដ្ឋាន "80-192.168.10.35-192.168.10.40.

  តារាង ip foo {
  កំណត់បញ្ជីស {
  វាយ ipv4_addr ។ ipv4_addr. inet_service
  ចន្លោះពេលទង់
  ធាតុ = { 192.168.10.35-192.168.10.40 ។ 192.68.11.123-192.168.11.125 ។ 80}
  }

  របារខ្សែសង្វាក់ {
  ប្រភេទតម្រងទំពក់ តម្រង់ទិសតម្រងអាទិភាព; ការធ្លាក់ចុះគោលនយោបាយ;
  ip saddr ។ អាយភី ប៉ា tcp dport @whitelist ទទួលយក
  }
  }

• នៅក្នុងសំណុំ និងបញ្ជីផែនទី វាអាចប្រើការណែនាំ "typeof" ដែលកំណត់ទម្រង់នៃធាតុនៅពេលផ្គូផ្គង។
  ឧទាហរណ៍:

  តារាង ip foo {
  កំណត់បញ្ជីស {
  ប្រភេទនៃ ip saddr
  ធាតុ = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
  }

  របារខ្សែសង្វាក់ {
  ប្រភេទតម្រងទំពក់ តម្រង់ទិសតម្រងអាទិភាព; ការធ្លាក់ចុះគោលនយោបាយ;
  ip daddr @whitelist ទទួលយក
  }
  }

  តារាង ip foo {
  ផែនទី addr2mark {
  ប្រភេទ ip saddr : meta mark
  ធាតុ = { 192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
  }
  }

• បានបន្ថែមសមត្ថភាពក្នុងការប្រើការភ្ជាប់នៅក្នុងការចង NAT ដែលអនុញ្ញាតឱ្យអ្នកបញ្ជាក់អាសយដ្ឋាន និងច្រកនៅពេលកំណត់ការបំប្លែង NAT ដោយផ្អែកលើបញ្ជីផែនទី ឬសំណុំដែលមានឈ្មោះ៖

  nft បន្ថែមច្បាប់ ip nat pre dnat ip addr ។ ច្រកទៅផែនទី ip saddr { 1.1.1.1 : 2.2.2.2 ។ សាមសិប }

  nft បន្ថែមផែនទី ip nat ទិសដៅ { វាយ ipv4_addr . inet_service៖ ipv4_addr. inet_service \\; }
  nft បន្ថែមច្បាប់ ip nat pre dnat ip addr ។ ច្រកទៅ ip saddr ។ tcp dport map @destinations

• គាំទ្រ​ការ​បង្កើន​ល្បឿន​ផ្នែក​រឹង​ដោយ​ការ​ផ្ទេរ​ប្រតិបត្តិការ​ច្រោះ​មួយ​ចំនួន​ទៅ​កាត​បណ្ដាញ។ ការ​បង្កើន​ល្បឿន​ត្រូវ​បាន​បើក​តាម​រយៈ​ឧបករណ៍​ប្រើប្រាស់ ethtool ("ethtool -K eth0 hw-tc-offload on") បន្ទាប់​ពី​នោះ​វា​ត្រូវ​បាន​ធ្វើ​ឱ្យ​សកម្ម​នៅ​ក្នុង nftables សម្រាប់​ខ្សែ​សង្វាក់​មេ​ដោយ​ប្រើ​ទង់ "offload"។ នៅពេល​ប្រើ​ខឺណែល Linux 5.6 គាំទ្រការបង្កើនល្បឿនផ្នែករឹងសម្រាប់ការផ្គូផ្គងវាលបឋមកថា និងការត្រួតពិនិត្យចំណុចប្រទាក់ចូល រួមផ្សំជាមួយនឹងការទទួលយកកញ្ចប់ ការបោះបង់ចោល ការចម្លង (dup) និងការបញ្ជូនបន្ត (fwd)។ នៅក្នុងឧទាហរណ៍ខាងក្រោម ការបោះបង់ចោលកញ្ចប់ពី 192.168.30.20 ត្រូវបានអនុវត្តនៅកម្រិតកាតចំណុចប្រទាក់បណ្តាញ ដោយមិនចាំបាច់បញ្ជូនកញ្ចប់ទៅខឺណែលទេ៖

  # cat file.nft
  តារាង netdev x {
  ខ្សែសង្វាក់ y {
  ប្រភេទតម្រង hook ingress ឧបករណ៍ eth0 អាទិភាព 10; ទង់ជាតិបិទ;
  ip saddr 192.168.30.20 ទម្លាក់
  }
  }
  # nft -f file.nft

• ព័ត៌មានដែលបានកែលម្អអំពីទីតាំងនៃកំហុសនៅក្នុងច្បាប់។

  # nft លុបក្បួន ip yz handle ៧
  កំហុស៖ មិនអាចដំណើរការច្បាប់បានទេ៖ គ្មានឯកសារ ឬថតឯកសារបែបនេះទេ។
  លុបក្បួន ip yz handle ៧
  ^

  # nft លុបក្បួន ip xx ចំណុចទាញ ៧
  កំហុស៖ មិនអាចដំណើរការច្បាប់បានទេ៖ គ្មានឯកសារ ឬថតឯកសារបែបនេះទេ។
  លុបក្បួន ip xx handle ៧
  ^

  # nft លុបតារាង twst
  កំហុស៖ គ្មានឯកសារ ឬថតឯកសារបែបនេះទេ។ តើ​អ្នក​មាន​ន័យ​ថា​តារាង 'test' ក្នុង family ip ទេ?
  លុបតារាង twst
  ^^^^

  ឧទាហរណ៍ទី 7 បង្ហាញថាតារាង "y" មិនមាននៅក្នុងប្រព័ន្ធទេ ទីពីរដែលអ្នកដោះស្រាយ "XNUMX" បាត់ ហើយទីបីដែលប្រអប់បញ្ចូលវាយអក្សរត្រូវបានបង្ហាញនៅពេលវាយឈ្មោះតារាង។

• បានបន្ថែមការគាំទ្រសម្រាប់ពិនិត្យមើលចំណុចប្រទាក់ slave ដោយបញ្ជាក់ "meta sdif" ឬ "meta sdifname"៖

  ... meta sdifname vrf1 ...

• បានបន្ថែមការគាំទ្រសម្រាប់ប្រតិបត្តិការប្តូរស្តាំឬឆ្វេង។ ឧទាហរណ៍ ដើម្បីផ្លាស់ប្តូរស្លាកកញ្ចប់ព័ត៌មានដែលមានស្រាប់ទុកដោយ 1 ប៊ីត ហើយកំណត់ប៊ីតតូចទៅ 1៖

  … កំណត់សម្គាល់មេតា កំណត់សម្គាល់មេតា lshift 1 ឬ 0x1 …

• បានអនុវត្តជម្រើស "-V" ដើម្បីបង្ហាញព័ត៌មានកំណែបន្ថែម។

  # nft -V
  nftables v0.9.4 (Jive at Five)
  cli: បន្ទាត់អាន
  json: បាទ
  minigmp: ទេ។
  libxtables: បាទ

• ឥឡូវនេះជម្រើសបន្ទាត់ពាក្យបញ្ជាត្រូវតែបញ្ជាក់មុនពេលពាក្យបញ្ជា។ ឧទាហរណ៍ អ្នកត្រូវបញ្ជាក់ "nft -a list ruleset" ហើយការដំណើរការ "nft list ruleset -a" នឹងបណ្តាលឱ្យមានកំហុស។

  ប្រភព: opennet.ru