🥇ការចេញផ្សាយតម្រងកញ្ចប់ព័ត៌មាន nftables 0.9.9

តម្រងកញ្ចប់ nftables 0.9.9 ត្រូវបានចេញផ្សាយហើយ។ វាបង្រួបបង្រួមចំណុចប្រទាក់តម្រងកញ្ចប់សម្រាប់ IPv4, IPv6, ARP និងស្ពានបណ្តាញ (កំណត់គោលដៅជាការជំនួសសម្រាប់ iptables, ip6table, arptables និង ebtables)។ បណ្ណាល័យ libnftnl 1.2.0 ដែលភ្ជាប់មកជាមួយ ដែលផ្តល់នូវ API កម្រិតទាបសម្រាប់ធ្វើអន្តរកម្មជាមួយប្រព័ន្ធរង nf_tables ត្រូវបានចេញផ្សាយក្នុងពេលដំណាលគ្នា។ ការផ្លាស់ប្តូរដែលត្រូវការសម្រាប់ nftables 0.9.9 ត្រូវបានដាក់បញ្ចូលទៅក្នុងខឺណែល។ Linux ៥.១៣-rc១។

កញ្ចប់ nftables មានសមាសធាតុតម្រងកញ្ចប់ដែលដំណើរការក្នុងទំហំអ្នកប្រើប្រាស់ ខណៈពេលដែលការងារកម្រិតខឺណែលត្រូវបានផ្តល់ដោយប្រព័ន្ធរង nf_tables ដែលជាផ្នែកមួយនៃខឺណែល។ Linux ចាប់តាំងពីការចេញផ្សាយ 3.13 មក មានតែចំណុចប្រទាក់ដែលមិនពឹងផ្អែកលើពិធីការទូទៅប៉ុណ្ណោះដែលត្រូវបានផ្តល់ជូននៅកម្រិតខឺណែល ដែលផ្តល់មុខងារជាមូលដ្ឋានសម្រាប់ទាញយកទិន្នន័យពីកញ្ចប់ អនុវត្តប្រតិបត្តិការទិន្នន័យ និងការគ្រប់គ្រងលំហូរ។

ច្បាប់ច្រោះខ្លួនឯង និងឧបករណ៍ដោះស្រាយជាក់លាក់នៃពិធីការត្រូវបានចងក្រងទៅជា bytecode នៅក្នុងកន្លែងអ្នកប្រើប្រាស់ បន្ទាប់ពីនោះ bytecode នេះត្រូវបានផ្ទុកទៅក្នុង kernel ដោយប្រើចំណុចប្រទាក់ Netlink ហើយត្រូវបានប្រតិបត្តិនៅក្នុង kernel ក្នុងលក្ខណៈពិសេសមួយ។ ម៉ាស៊ីននិម្មិតដែលរំលឹកដល់ BPF (Berkeley Packet Filters)។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យមានការកាត់បន្ថយយ៉ាងច្រើននៃទំហំនៃកូដច្រោះដែលកំពុងដំណើរការនៅកម្រិតខឺណែល និងផ្លាស់ទីការវិភាគច្បាប់ និងតក្កវិជ្ជាពិធីការទាំងអស់ទៅក្នុងទំហំអ្នកប្រើប្រាស់។

ការច្នៃប្រឌិតសំខាន់ៗ៖

សមត្ថភាពក្នុងការផ្លាស់ទីដំណើរការតារាងលំហូរទៅផ្នែកអាដាប់ទ័របណ្តាញត្រូវបានអនុវត្ត បើកដោយប្រើទង់ 'offload' ។ Flowtable គឺជាយន្តការសម្រាប់បង្កើនប្រសិទ្ធភាពផ្លូវនៃការបញ្ជូនបន្តកញ្ចប់ព័ត៌មាន ដែលការឆ្លងកាត់ពេញលេញនៃខ្សែសង្វាក់ដំណើរការច្បាប់ទាំងអស់ត្រូវបានអនុវត្តតែចំពោះកញ្ចប់ព័ត៌មានដំបូងប៉ុណ្ណោះ ហើយកញ្ចប់ព័ត៌មានផ្សេងទៀតទាំងអស់នៅក្នុងលំហូរត្រូវបានបញ្ជូនបន្តដោយផ្ទាល់។ តារាង ip សកល { flowtable f { hook ingress priority filter + 1 devices = { lan3, lan0, wan } flags offload } chain forward { type filter hook forward priority filter; គោលនយោបាយទទួលយក; ip protocol { tcp, udp } flow add @f } chain post { type nat hook postrouting priority filter; គោលនយោបាយទទួលយក; oifname "wan" masquerade } }
បានបន្ថែមការគាំទ្រសម្រាប់ការភ្ជាប់ទង់ម្ចាស់ទៅនឹងតារាង ដើម្បីធានាការប្រើប្រាស់តារាងផ្តាច់មុខដោយដំណើរការមួយ។ នៅពេលដំណើរការបញ្ចប់ តារាងដែលភ្ជាប់ជាមួយវាត្រូវបានលុបដោយស្វ័យប្រវត្តិ។ ព័ត៌មានអំពីដំណើរការត្រូវបានបង្ហាញនៅក្នុងច្បាប់បោះចោលក្នុងទម្រង់ជាមតិយោបល់៖ តារាង ip x { # progname nft flags owner chain y { type filter hook input priority filter; គោលនយោបាយទទួលយក; កញ្ចប់បញ្ជរ 1 បៃ 309 } }
បានបន្ថែមការគាំទ្រសម្រាប់ការបញ្ជាក់ IEEE 802.1ad (VLAN stacking ឬ QinQ) ដែលកំណត់មធ្យោបាយសម្រាប់ការជំនួសស្លាក VLAN ជាច្រើនទៅក្នុងស៊ុមអ៊ីសឺរណិតតែមួយ។ ឧទាហរណ៍ ដើម្បីពិនិត្យមើលប្រភេទនៃស៊ុម Ethernet ខាងក្រៅ 8021ad និង vlan id=342 អ្នកអាចប្រើសំណង់ ... ប្រភេទ ether 802.1ad vlan id 342 ដើម្បីពិនិត្យមើលប្រភេទខាងក្រៅនៃ Ethernet frame 8021ad/vlan id=1, nested 802.1 q/vlan id=2 និងបន្ថែម IP packet encapsulation: ... ប្រភេទ ether 8021ad vlan id 1 vlan type 8021q vlan id 2 vlan type ip counter
បានបន្ថែមការគាំទ្រសម្រាប់ការគ្រប់គ្រងធនធានដោយប្រើឋានានុក្រមបង្រួបបង្រួម cgroups v2. ភាពខុសគ្នាសំខាន់រវាង cgroups v2 និង v1 គឺការប្រើប្រាស់ឋានានុក្រម cgroups ទូទៅសម្រាប់ធនធានគ្រប់ប្រភេទ ជំនួសឱ្យឋានានុក្រមដាច់ដោយឡែកសម្រាប់បែងចែកធនធាន CPU សម្រាប់គ្រប់គ្រងការប្រើប្រាស់អង្គចងចាំ និងសម្រាប់ I/O ។ ឧទាហរណ៍ ដើម្បីពិនិត្យមើលថាតើបុព្វបុរសនៃរន្ធនៅកម្រិតទីមួយ cgroupv2 ត្រូវគ្នានឹងរបាំង "system.slice" អ្នកអាចប្រើសំណង់៖ ... រន្ធ cgroupv2 កម្រិតទី 1 "system.slice"
បានបន្ថែមសមត្ថភាពក្នុងការពិនិត្យមើលសមាសធាតុនៃកញ្ចប់ SCTP (មុខងារដែលត្រូវការសម្រាប់ប្រតិបត្តិការនឹងលេចឡើងនៅក្នុងខឺណែល) Linux ៥.១៤)។ ឧទាហរណ៍ ដើម្បីពិនិត្យមើលថាតើកញ្ចប់មួយមាន chunk ដែលមានប្រភេទ 'data' និងវាល 'type' ដែរឬទេ៖ … sctp chunk data មាន … sctp chunk data type 0
ការប្រតិបត្តិនៃប្រតិបត្តិការផ្ទុកច្បាប់ត្រូវបានបង្កើនល្បឿនប្រហែល 2 ដងដោយប្រើទង់ "-f" ។ លទ្ធផលនៃបញ្ជីច្បាប់ក៏ត្រូវបានពន្លឿនផងដែរ។
ទម្រង់បង្រួមសម្រាប់ពិនិត្យមើលថាតើប៊ីតទង់ត្រូវបានកំណត់ត្រូវបានកំណត់ឬអត់។ ឧទាហរណ៍ ដើម្បីពិនិត្យមើលថាប៊ីតស្ថានភាព snat និង dnat មិនត្រូវបានកំណត់ អ្នកអាចបញ្ជាក់៖ ... ស្ថានភាព ct ! snat,dnat ដើម្បីពិនិត្យមើលថា syn bit ត្រូវបានកំណត់នៅក្នុង bitmask syn,ack: ... tcp flags syn / syn,ack ដើម្បីពិនិត្យមើលថា fin និង rst bits មិនត្រូវបានកំណត់នៅក្នុង bitmask syn,ack,fin,rst: ... ទង់ tcp ! = fin, rst / syn, ack, fin, rst
អនុញ្ញាតឱ្យពាក្យគន្លឹះ "សាលក្រម" នៅក្នុងការកំណត់ប្រភេទ/ផែនទី និយមន័យ៖ បន្ថែមផែនទី xm { typeof iifname . ពិធីការ ip th dport : សាលក្រម ;}

ប្រភព: opennet.ru