🥇nftables packet filter 1.0.0 បានចេញផ្សាយ

ការចេញផ្សាយនៃតម្រងកញ្ចប់ព័ត៌មាន nftables 1.0.0 ត្រូវបានបោះពុម្ព ដោយបង្រួបបង្រួមចំណុចប្រទាក់តម្រងកញ្ចប់ព័ត៌មានសម្រាប់ IPv4, IPv6, ARP និងស្ពានបណ្តាញ (មានគោលបំណងជំនួស iptables, ip6table, arptables និង ebtables)។ ការផ្លាស់ប្តូរដែលត្រូវការសម្រាប់ការចេញផ្សាយ nftables 1.0.0 ដើម្បីដំណើរការត្រូវបានរួមបញ្ចូលនៅក្នុងខឺណែលលីនុច 5.13 ។ ការផ្លាស់ប្តូរដ៏សំខាន់នៅក្នុងលេខកំណែគឺមិនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការផ្លាស់ប្តូរជាមូលដ្ឋានណាមួយទេ ប៉ុន្តែគ្រាន់តែជាផលវិបាកនៃការបន្តលេខរៀងគ្នានៅក្នុងសញ្ញាគោលទសភាគ (ការចេញផ្សាយមុនគឺ 0.9.9)។

កញ្ចប់ nftables រួមមានសមាសធាតុតម្រងកញ្ចប់ដែលដំណើរការក្នុងចន្លោះអ្នកប្រើប្រាស់ ខណៈពេលដែលការងារកម្រិតខឺណែលត្រូវបានផ្តល់ដោយប្រព័ន្ធរង nf_tables ដែលជាផ្នែកមួយនៃខឺណែលលីនុចចាប់តាំងពីការចេញផ្សាយ 3.13 ។ កម្រិតខឺណែលផ្តល់តែចំណុចប្រទាក់ឯករាជ្យនៃពិធីការទូទៅដែលផ្តល់មុខងារជាមូលដ្ឋានសម្រាប់ការទាញយកទិន្នន័យពីកញ្ចប់ព័ត៌មាន ប្រតិបត្តិការទិន្នន័យ និងការគ្រប់គ្រងលំហូរ។

ច្បាប់នៃការច្រោះ និងអ្នកដោះស្រាយតាមពិធីការជាក់លាក់ត្រូវបានចងក្រងជា bytecode ក្នុងចន្លោះអ្នកប្រើប្រាស់ បន្ទាប់មក bytecode នេះត្រូវបានផ្ទុកទៅក្នុងខឺណែលដោយប្រើចំណុចប្រទាក់ Netlink ហើយត្រូវបានប្រតិបត្តិក្នុងខឺណែលនៅក្នុងម៉ាស៊ីននិម្មិតពិសេសដែលនឹកឃើញដល់ BPF (Berkeley Packet Filters)។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកកាត់បន្ថយយ៉ាងខ្លាំងនូវទំហំនៃកូដត្រងដែលកំពុងដំណើរការនៅកម្រិតខឺណែល ហើយផ្លាស់ទីមុខងារទាំងអស់នៃច្បាប់ញែក និងតក្កវិជ្ជាសម្រាប់ធ្វើការជាមួយពិធីការទៅក្នុងទំហំអ្នកប្រើប្រាស់។

ការច្នៃប្រឌិតសំខាន់ៗ៖

ការគាំទ្រសម្រាប់ធាតុរបាំង "*" ត្រូវបានបន្ថែមទៅបញ្ជីដែលបានកំណត់ ដែលត្រូវបានបង្កឡើងសម្រាប់កញ្ចប់ណាមួយដែលមិនស្ថិតនៅក្រោមធាតុផ្សេងទៀតដែលបានកំណត់នៅក្នុងសំណុំ។ តារាង x { បញ្ជីប្លុកផែនទី { ប្រភេទ ipv4_addr : សាលក្រមទង់ធាតុចន្លោះពេល = { 192.168.0.0/16 : ទទួលយក, 10.0.0.0/8 : ទទួលយក, * : ទម្លាក់ } } ខ្សែសង្វាក់ y { ប្រភេទតម្រងទំពក់ prerouting អាទិភាព 0; គោលនយោបាយទទួលយក; ip saddr vmap @blocklist } }
វាអាចធ្វើទៅបានដើម្បីកំណត់អថេរពីបន្ទាត់ពាក្យបញ្ជាដោយប្រើជម្រើស "-- កំណត់" ។ # cat test.nft តារាង netdev x { chain y { type filter hook ingress devices = $dev priority 0; ការធ្លាក់ចុះគោលនយោបាយ; } } # nft —define dev="{ eth0, eth1 }" -f test.nft
នៅក្នុងបញ្ជីផែនទី ការប្រើប្រាស់កន្សោមថេរ (ស្ថានភាព) ត្រូវបានអនុញ្ញាត៖ តារាង inet filter { map portmap { type inet_service : verdict counter elements = { 22 counter packets 0 bytes 0: jump ssh_input, * counter packets 0 bytes 0: drop } } chain ssh_input { } chain wan_input { tcp dport vmap @portmap } chain prerouting { type filter hook prerouting priority raw; គោលនយោបាយទទួលយក; iif vmap { "lo" : លោត wan_input } } }
បានបន្ថែមពាក្យបញ្ជា "បញ្ជីទំពក់" ដើម្បីបង្ហាញបញ្ជីអ្នកដោះស្រាយសម្រាប់គ្រួសារកញ្ចប់ព័ត៌មានដែលបានផ្តល់ឱ្យ៖ # nft list hooks ឧបករណ៍ ip eth0 family ip { hook ingress { +0000000010 chain netdev xy [nf_tables] +0000000300 chain inet mw [nf_tables] } {-0000000100 ខ្សែសង្វាក់ ip ab [nf_table] +0000000300 ខ្សែសង្វាក់ {0000000225 4-0000000000} ទំពក់ {+0000000225 4 selinux_ipv 0000000225_paProute}}
បណ្តុំជួរអនុញ្ញាតឱ្យកន្សោម jhash, symhash និង numgen ត្រូវបានរួមបញ្ចូលគ្នាដើម្បីចែកចាយកញ្ចប់ព័ត៌មានទៅជួរក្នុងចន្លោះអ្នកប្រើប្រាស់។ … ជួរទៅ symhash mod 65536 … ជួរទង់រំលងទៅ numgen inc mod 65536 … ជួរទៅ jhash oif ។ meta mark mod 32 "queue" ក៏អាចត្រូវបានផ្សំជាមួយបញ្ជីផែនទីដើម្បីជ្រើសរើសជួរក្នុងចន្លោះអ្នកប្រើប្រាស់ដោយផ្អែកលើគ្រាប់ចុចបំពាន។ ... ទង់ជួររំលងទៅផែនទី oifname { "eth0" : 0, "ppp0" : 2, "eth1" : 2 }
វាអាចធ្វើទៅបានដើម្បីពង្រីកអថេរដែលរួមបញ្ចូលបញ្ជីសំណុំទៅក្នុងផែនទីជាច្រើន។ កំណត់ចំណុចប្រទាក់ = { eth0, eth1 } តារាង ip x { ខ្សែសង្វាក់ y { ប្រភេទតម្រងទំពក់បញ្ចូលអាទិភាព 0; គោលនយោបាយទទួលយក; iifname vmap { lo : accept, $interfaces : drop } } } # nft -f x.nft # nft list ruleset table ip x { chain y { type filter hook input priority 0; គោលនយោបាយទទួលយក; iifname vmap { "lo" : accept, "eth0": drop, "eth1": drop } } }
ការរួមបញ្ចូល vmaps (ផែនទីសាលក្រម) នៅចន្លោះពេលត្រូវបានអនុញ្ញាត៖ # nft បន្ថែមច្បាប់ xy tcp dport ។ ip saddr vmap { 1025-65535 ។ 192.168.10.2: ទទួលយក }
វាក្យសម្ព័ន្ធសាមញ្ញសម្រាប់ការគូសផែនទី NAT ។ បានអនុញ្ញាតឱ្យបញ្ជាក់ជួរអាសយដ្ឋាន៖ ... snat ទៅ ip saddr map { 10.141.11.4 : 192.168.2.2-192.168.2.4 } ឬអាសយដ្ឋាន IP និងច្រកច្បាស់លាស់៖ ... dnat ទៅ ip saddr map { 10.141.11.4.. 192.168.2.3.. : 80. . 192.168.1.2 } ឬបន្សំនៃជួរ IP និងច្រក៖ ... dnat ទៅ ip saddr ។ ផែនទី tcp dport { 80 . 10.141.10.2: 10.141.10.5-8888 ។ 8999-XNUMX }

ប្រភព: opennet.ru

ការចេញផ្សាយតម្រងកញ្ចប់ព័ត៌មាន nftables 1.0.0

បន្ថែមមតិយោបល់ ответОтменить