ការចេញផ្សាយតម្រងកញ្ចប់ព័ត៌មាន nftables 1.0.2

ការចេញផ្សាយនៃតម្រងកញ្ចប់ព័ត៌មាន nftables 1.0.2 ត្រូវបានបោះពុម្ព ដោយបង្រួបបង្រួមចំណុចប្រទាក់តម្រងកញ្ចប់ព័ត៌មានសម្រាប់ IPv4, IPv6, ARP និងស្ពានបណ្តាញ (មានគោលបំណងជំនួស iptables, ip6table, arptables និង ebtables) ។ ការផ្លាស់ប្តូរដែលត្រូវការសម្រាប់ការចេញផ្សាយ nftables 1.0.2 ដើម្បីដំណើរការត្រូវបានរួមបញ្ចូលនៅក្នុងខឺណែលលីនុច 5.17-rc ។

កញ្ចប់ nftables រួមមានសមាសធាតុតម្រងកញ្ចប់ដែលដំណើរការក្នុងចន្លោះអ្នកប្រើប្រាស់ ខណៈពេលដែលការងារកម្រិតខឺណែលត្រូវបានផ្តល់ដោយប្រព័ន្ធរង nf_tables ដែលជាផ្នែកមួយនៃខឺណែលលីនុចចាប់តាំងពីការចេញផ្សាយ 3.13 ។ កម្រិតខឺណែលផ្តល់តែចំណុចប្រទាក់ឯករាជ្យនៃពិធីការទូទៅដែលផ្តល់មុខងារជាមូលដ្ឋានសម្រាប់ការទាញយកទិន្នន័យពីកញ្ចប់ព័ត៌មាន ប្រតិបត្តិការទិន្នន័យ និងការគ្រប់គ្រងលំហូរ។

ច្បាប់នៃការច្រោះ និងអ្នកដោះស្រាយតាមពិធីការជាក់លាក់ត្រូវបានចងក្រងជា bytecode ក្នុងចន្លោះអ្នកប្រើប្រាស់ បន្ទាប់មក bytecode នេះត្រូវបានផ្ទុកទៅក្នុងខឺណែលដោយប្រើចំណុចប្រទាក់ Netlink ហើយត្រូវបានប្រតិបត្តិក្នុងខឺណែលនៅក្នុងម៉ាស៊ីននិម្មិតពិសេសដែលនឹកឃើញដល់ BPF (Berkeley Packet Filters)។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកកាត់បន្ថយយ៉ាងខ្លាំងនូវទំហំនៃកូដត្រងដែលកំពុងដំណើរការនៅកម្រិតខឺណែល ហើយផ្លាស់ទីមុខងារទាំងអស់នៃច្បាប់ញែក និងតក្កវិជ្ជាសម្រាប់ធ្វើការជាមួយពិធីការទៅក្នុងទំហំអ្នកប្រើប្រាស់។

ការច្នៃប្រឌិតសំខាន់ៗ៖

• របៀបបង្កើនប្រសិទ្ធភាពច្បាប់ត្រូវបានបន្ថែម បើកដោយប្រើជម្រើស "-o" ("--optimize") ថ្មី ដែលអាចត្រូវបានផ្សំជាមួយជម្រើស "--check" ដើម្បីពិនិត្យមើល និងបង្កើនប្រសិទ្ធភាពការផ្លាស់ប្តូរចំពោះឯកសារកំណត់ច្បាប់ដោយមិនចាំបាច់ផ្ទុកវាពិតប្រាកដ។ . ការបង្កើនប្រសិទ្ធភាពអនុញ្ញាតឱ្យអ្នកបញ្ចូលគ្នានូវច្បាប់ស្រដៀងគ្នា ឧទាហរណ៍ ច្បាប់៖ meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 ទទួលយក meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 ទទួលយក ip saddr 1.1.1.1 2.2.2.2ip da .2.2.2.2 ទទួលយក ip saddr 3.3.3.3 ip daddr XNUMX ទម្លាក់

  នឹងត្រូវបានបញ្ចូលទៅក្នុង meta iifname ។ ip saddr ។ ip daddr { eth1 . ១.១.១.១. 1.1.1.1, eth2.2.2.3 ។ ១.១.១.២. 1 } ទទួលយក ip saddr ។ ip daddr vmap { 1.1.1.2 ។ ២.២.២.២៖ ទទួលយក ២.២.២.២ ។ ៣.៣.៣.៣៖ ទម្លាក់ }

  ឧទាហរណ៍ការប្រើប្រាស់៖ #nft -c -o -f ruleset.test ការរួមបញ្ចូលគ្នា៖ ruleset.nft:16:3-37: ip daddr 192.168.0.1 counter accept ruleset.nft:17:3-37: ip daddr 192.168.0.2 counter accept ruleset.nft:18:3-37: ip daddr 192.168.0.3 counter accept into: ip daddr { 192.168.0.1, 192.168.0.2, 192.168.0.3 } counter packets 0 bytes 0 accept

• បញ្ជីសំណុំអនុវត្តសមត្ថភាពក្នុងការបញ្ជាក់ជម្រើស ip និង tcp ក៏ដូចជាកំណាត់ sctp៖ set s5 { typeof ip option ra value element = { 1, 1024 } } set s7 { typeof sctp chunk init num-inbound-streams elements = { 1, 4 } } ខ្សែសង្វាក់ c5 { ជម្រើស ip ra តម្លៃ @s5 ទទួលយក } ខ្សែសង្វាក់ c7 { sctp chunk init num-inbound-streams @s7 accept }
• បានបន្ថែមការគាំទ្រសម្រាប់ជម្រើស TCP fastopen, md5sig និង mptcp ។
• បានបន្ថែមការគាំទ្រសម្រាប់ការប្រើប្រាស់ប្រភេទរង mp-tcp ក្នុងការគូសវាស៖ ជម្រើស tcp mptcp ប្រភេទរង 1
• ធ្វើឱ្យប្រសើរឡើងនូវកូដតម្រងចំហៀងខឺណែល។
• ឥឡូវនេះ Flowtable មានការគាំទ្រពេញលេញសម្រាប់ទម្រង់ JSON ។
• លទ្ធភាពប្រើប្រាស់សកម្មភាព "បដិសេធ" នៅក្នុងប្រតិបត្តិការផ្គូផ្គងស៊ុមអ៊ីសឺរណិតត្រូវបានផ្តល់ជូន។ ether saddr aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 បដិសេធ

ប្រភព: opennet.ru