🥇nftables packet filter 0.9.5 បានចេញផ្សាយ

បោះពុម្ពផ្សាយ ការចេញផ្សាយតម្រងកញ្ចប់ nftables 0.9.5ដែលកំពុងអភិវឌ្ឍជាការជំនួសសម្រាប់ iptables, ip6table, arptables និង ebtables ដោយការបង្រួបបង្រួមចំណុចប្រទាក់តម្រងកញ្ចប់សម្រាប់ IPv4, IPv6, ARP និងបណ្តាញស្ពាន។ កញ្ចប់ nftables រួមបញ្ចូលសមាសធាតុតម្រងកញ្ចប់ដែលដំណើរការក្នុងចន្លោះអ្នកប្រើប្រាស់ ខណៈពេលដែលការងារកម្រិតខឺណែលត្រូវបានផ្តល់ដោយប្រព័ន្ធរង nf_tables ដែលជាផ្នែកមួយនៃខឺណែលលីនុចចាប់តាំងពីការចេញផ្សាយ 3.13 ។ ការផ្លាស់ប្តូរដែលត្រូវការសម្រាប់ការចេញផ្សាយ nftables 0.9.5 ដើម្បីដំណើរការត្រូវបានរួមបញ្ចូលនៅក្នុងខឺណែល។ លីនុច 5.7.

កម្រិតខឺណែលផ្តល់តែចំណុចប្រទាក់ឯករាជ្យនៃពិធីការទូទៅដែលផ្តល់មុខងារជាមូលដ្ឋានសម្រាប់ការទាញយកទិន្នន័យពីកញ្ចប់ព័ត៌មាន ប្រតិបត្តិការទិន្នន័យ និងការគ្រប់គ្រងលំហូរ។ ច្បាប់នៃការច្រោះ និងកម្មវិធីគ្រប់គ្រងជាក់លាក់នៃពិធីការត្រូវបានចងក្រងជា bytecode ក្នុងចន្លោះអ្នកប្រើប្រាស់ បន្ទាប់មក bytecode នេះត្រូវបានផ្ទុកទៅក្នុងខឺណែលដោយប្រើចំណុចប្រទាក់ Netlink ហើយត្រូវបានប្រតិបត្តិក្នុងខឺណែលនៅក្នុងម៉ាស៊ីននិម្មិតពិសេសដែលនឹកឃើញដល់ BPF (Berkeley Packet Filters)។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកកាត់បន្ថយយ៉ាងខ្លាំងនូវទំហំនៃកូដត្រងដែលកំពុងដំណើរការនៅកម្រិតខឺណែល ហើយផ្លាស់ទីមុខងារទាំងអស់នៃច្បាប់ញែក និងតក្កវិជ្ជាសម្រាប់ធ្វើការជាមួយពិធីការទៅក្នុងទំហំអ្នកប្រើប្រាស់។

ការច្នៃប្រឌិតសំខាន់ៗ៖

ការគាំទ្រសម្រាប់កញ្ចប់ព័ត៌មាន និងបញ្ជរចរាចរណ៍ដែលពាក់ព័ន្ធនឹងធាតុសំណុំត្រូវបានបន្ថែមទៅសំណុំ។ បញ្ជរត្រូវបានបើកដោយប្រើពាក្យគន្លឹះ "បញ្ជរ"៖
តារាង ip x {
កំណត់ y {
ប្រភេទនៃ ip saddr
ការប្រឆាំង
ធាតុ = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
}

ខ្សែសង្វាក់ z {
ប្រភេទ តម្រង ទំពក់ តម្រង អាទិភាព ទិន្នផល; គោលនយោបាយទទួលយក;
ip daddr @y
}
}
ដើម្បីកំណត់តម្លៃដំបូងនៃបញ្ជរ ឧទាហរណ៍ ដើម្បីស្ដារបញ្ជរពីមុនបន្ទាប់ពីចាប់ផ្តើមឡើងវិញ អ្នកអាចប្រើពាក្យបញ្ជា "nft -f"៖
# ឆ្មា ruleset.nft
តារាង ip x {
កំណត់ y {
ប្រភេទនៃ ip saddr
ការប្រឆាំង
ធាតុ = { 192.168.10.35 កញ្ចប់បញ្ជរ 1 បៃ 84, 192.168.10.101 \\
counter p 192.168.10.135 counter packets 0 bytes 0 }
}

ខ្សែសង្វាក់ z {
ប្រភេទ តម្រង ទំពក់ តម្រង អាទិភាព ទិន្នផល; គោលនយោបាយទទួលយក;
ip daddr @y
}
}
# nft -f ruleset.nft
ច្បាប់បញ្ជី #nft
តារាង ip x {
កំណត់ y {
ប្រភេទនៃ ip saddr
ការប្រឆាំង
ធាតុ = { 192.168.10.35 កញ្ចប់បញ្ជរ 1 បៃ 84, 192.168.10.101 \\
counter p 192.168.10.135 counter packets 0 bytes 0 }
}

ខ្សែសង្វាក់ z {
ប្រភេទ តម្រង ទំពក់ តម្រង អាទិភាព ទិន្នផល; គោលនយោបាយទទួលយក;
ip daddr @y
}
}
ការគាំទ្រផ្នែកប្រឆាំងក៏ត្រូវបានបន្ថែមទៅតារាងលំហូរផងដែរ៖
តារាង ip foo {
របារតារាងលំហូរ {
hook ingress អាទិភាព -100
ឧបករណ៍ = { eth0, eth1 }
ការប្រឆាំង
}

ខ្សែសង្វាក់ទៅមុខ {
ប្រភេទតម្រង តម្រងអាទិភាព ឆ្ពោះទៅមុខ;
លំហូរបន្ថែម @bar counter
}
}

អ្នកអាចមើលបញ្ជីរាប់ដោយប្រើពាក្យបញ្ជា "conntrack -L"៖

tcp 6 src=192.168.10.2 dst=10.0.1.2 sport=47278 dport=5201 packets=9 bytes=608 \\
src=10.0.1.2 dst=10.0.1.1 sport=5201 dport=47278 packets=8 bytes=428 [OFFLOAD] mark=0 \\
sectx=null use=2 tcp 6 src=192.168.10.2 dst=10.0.1.2 sport=47280 dport=5201 \\
កញ្ចប់=1005763បៃ=44075714753 src=10.0.1.2 dst=10.0.1.1 sport=5201 dport=47280 \
packets=967505 bytes=50310268 [OFFLOAD] mark=0 secctx=null use=2
នៅក្នុងសំណុំសម្រាប់ concatenation (ការភ្ជាប់គ្នា បណ្តុំអាស័យដ្ឋាន និងច្រកមួយចំនួនដែលសម្រួលការប្រៀបធៀប) វាអាចប្រើការណែនាំ "typeof" ដែលកំណត់ប្រភេទទិន្នន័យនៃធាតុសម្រាប់ផ្នែកធាតុផ្សំនៃធាតុនៃសំណុំ៖
តារាង ip foo {
កំណត់បញ្ជីស {
ប្រភេទ ip saddr ។ tcp dport
ធាតុ = { 192.168.10.35 ។ 80, 192.168.10.101 ។ 80}
}

របារខ្សែសង្វាក់ {
ប្រភេទតម្រងទំពក់ តម្រង់ទិសតម្រងអាទិភាព; ការធ្លាក់ចុះគោលនយោបាយ;
អាយភី ប៉ា tcp dport @whitelist ទទួលយក
}
}
ប្រភេទនៃការណែនាំឥឡូវនេះក៏អនុវត្តផងដែរក្នុងការចូលរួមនៅក្នុងបញ្ជីផែនទី៖
តារាង ip foo {
ផែនទី addr2mark {
ប្រភេទ ip saddr ។ tcp dport : meta mark
ធាតុ = { 192.168.10.35 ។ 80: 0x00000001 ,
១៩២.១៦៨.១០.១៣៥. 192.168.10.135 : 80x0 }
}

របារខ្សែសង្វាក់ {
ប្រភេទតម្រងទំពក់ តម្រង់ទិសតម្រងអាទិភាព; ការធ្លាក់ចុះគោលនយោបាយ;
កំណត់សម្គាល់មេតា ip daddr ។ tcp dport map @addr2mark ទទួលយក
}
}
បានបន្ថែមការគាំទ្រសម្រាប់ជួរចូលរួមនៅក្នុងសំណុំអនាមិក (មិនបញ្ចេញឈ្មោះ)៖
# nft បន្ថែមច្បាប់ inet filter បញ្ចូល ip daddr ។ tcp dport\
{ 10.0.0.0/8 . 10-23, 192.168.1.1-192.168.3.8 ។ 80-443 } ទទួលយក
សមត្ថភាពក្នុងការបោះបង់កញ្ចប់ព័ត៌មានដែលមានទង់ 802.1q (VLAN) នៅពេលដំណើរការស្ពានបណ្តាញត្រូវបានផ្តល់ជូន៖
# nft បន្ថែមស្ពាន foo bar ប្រភេទ ether vlan reject ជាមួយនឹងការកំណត់ tcp ឡើងវិញ
បានបន្ថែមការគាំទ្រសម្រាប់ការផ្គូផ្គងដោយឧបករណ៍កំណត់សម័យ TCP (លេខសម្គាល់ conntrack) ។ ដើម្បីកំណត់អត្តសញ្ញាណ conntrack អ្នកអាចប្រើជម្រើស "--output id"៖
# conntrack -L — លេខសម្គាល់លទ្ធផល
udp 17 18 src=192.168.2.118 dst=192.168.2.1 sport=36424 dport=53 កញ្ចប់=2 \\
bytes=122 src=192.168.2.1 dst=192.168.2.118 sport=53 dport=36424 packets=2 bytes=320 \\
[ធានា] mark=0 use=1 id=2779986232

# nft បន្ថែមច្បាប់ foo bar ct id 2779986232 counter

ប្រភព: opennet.ru

ការចេញផ្សាយតម្រងកញ្ចប់ព័ត៌មាន nftables 0.9.5

បន្ថែមមតិយោបល់ ответОтменить