🥇nftables packet filter 1.0.7 បានចេញផ្សាយ

ការចេញផ្សាយនៃតម្រងកញ្ចប់ព័ត៌មាន nftables 1.0.7 ត្រូវបានបោះពុម្ព ដោយបង្រួបបង្រួមចំណុចប្រទាក់តម្រងកញ្ចប់ព័ត៌មានសម្រាប់ IPv4, IPv6, ARP និងស្ពានបណ្តាញ (មានគោលបំណងជំនួស iptables, ip6table, arptables និង ebtables)។ កញ្ចប់ nftables រួមមានសមាសធាតុតម្រងកញ្ចប់ដែលដំណើរការក្នុងចន្លោះអ្នកប្រើប្រាស់ ខណៈពេលដែលការងារកម្រិតខឺណែលត្រូវបានផ្តល់ដោយប្រព័ន្ធរង nf_tables ដែលជាផ្នែកមួយនៃខឺណែលលីនុចចាប់តាំងពីការចេញផ្សាយ 3.13 ។ កម្រិតខឺណែលផ្តល់តែចំណុចប្រទាក់ឯករាជ្យនៃពិធីការទូទៅដែលផ្តល់មុខងារជាមូលដ្ឋានសម្រាប់ការទាញយកទិន្នន័យពីកញ្ចប់ព័ត៌មាន ប្រតិបត្តិការទិន្នន័យ និងការគ្រប់គ្រងលំហូរ។

ច្បាប់នៃការច្រោះ និងអ្នកដោះស្រាយតាមពិធីការជាក់លាក់ត្រូវបានចងក្រងជា bytecode ក្នុងចន្លោះអ្នកប្រើប្រាស់ បន្ទាប់មក bytecode នេះត្រូវបានផ្ទុកទៅក្នុងខឺណែលដោយប្រើចំណុចប្រទាក់ Netlink ហើយត្រូវបានប្រតិបត្តិក្នុងខឺណែលនៅក្នុងម៉ាស៊ីននិម្មិតពិសេសដែលនឹកឃើញដល់ BPF (Berkeley Packet Filters)។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកកាត់បន្ថយយ៉ាងខ្លាំងនូវទំហំនៃកូដត្រងដែលកំពុងដំណើរការនៅកម្រិតខឺណែល ហើយផ្លាស់ទីមុខងារទាំងអស់នៃច្បាប់ញែក និងតក្កវិជ្ជាសម្រាប់ធ្វើការជាមួយពិធីការទៅក្នុងទំហំអ្នកប្រើប្រាស់។

ការផ្លាស់ប្តូរសំខាន់ៗ៖

Для систем с ядром Linux 6.2+ добавлена поддержка сопоставления протоколов vxlan, geneve, gre и gretap, что позволяет использовать простые выражения для проверки заголовков в инкапсулированных пакетах. Например, для проверки IP-адреса в заголовке вложенного пакета из VxLAN, теперь можно использовать правила (без необходимости предварительной деинкапсуляции заголовка VxLAN и привязки фильтра к интерфейсу vxlan0): … udp dport 4789 vxlan ip protocol udp … udp dport 4789 vxlan ip saddr 1.2.3.0/24 … udp dport 4789 vxlan ip saddr . vxlan ip daddr { 1.2.3.4 . 4.3.2.1 }
Реализована поддержка автоматического слияния остатков после частичного удаления элемента set-списка, что позволяет удалить элемент или часть диапазона из существующего диапазона (раньше диапазон можно было удалить только целиком). Например, после удаления элемента 25 из set-списка с диапазонами 24-30 и 40-50 в списке останутся 24, 26-30 и 40-50. Исправления, необходимые для работы автослияния, будут предложены в корректирующих выпусках стабильных веток ядра 5.10+. # nft list ruleset table ip x { set y { typeof tcp dport flags interval auto-merge elements = { 24-30, 40-50 } } } # nft delete element ip x y { 25 } # nft list ruleset table ip x { set y { typeof tcp dport flags interval auto-merge elements = { 24, 26-30, 40-50 } } }
Разрешено использование контактации и диапазонов при маппинге трансляции адресов (NAT). table ip nat { chain prerouting { type nat hook prerouting priority dstnat; policy accept; dnat to ip daddr . tcp dport map { 10.1.1.136 . 80 : 1.1.2.69 . 1024, 10.1.1.10-10.1.1.20 . 8888-8889 : 1.1.2.69 . 2048-2049 } persistent } }
Добавлена поддержка выражения «last», позволяющего узнать время последнего использования элемента правила или set-списка. Возможность поддерживается начиная с ядра Linux 5.14. table ip x { set y { typeof ip daddr . tcp dport size 65535 flags dynamic,timeout last timeout 1h } chain z { type filter hook output priority filter; policy accept; update @y { ip daddr . tcp dport } } } # nft list set ip x y table ip x { set y { typeof ip daddr . tcp dport size 65535 flags dynamic,timeout last timeout 1h elements = { 172.217.17.14 . 443 last used 1s591ms timeout 1h expires 59m58s409ms, 172.67.69.19 . 443 last used 4s636ms timeout 1h expires 59m55s364ms, 142.250.201.72 . 443 last used 4s748ms timeout 1h expires 59m55s252ms, 172.67.70.134 . 443 last used 4s688ms timeout 1h expires 59m55s312ms, 35.241.9.150 . 443 last used 5s204ms timeout 1h expires 59m54s796ms, 138.201.122.174 . 443 last used 4s537ms timeout 1h expires 59m55s463ms, 34.160.144.191 . 443 last used 5s205ms timeout 1h expires 59m54s795ms, 130.211.23.194 . 443 last used 4s436ms timeout 1h expires 59m55s564ms } } }
Добавлена возможность определения квот в set-списках. Например, для определения квоты на трафик для каждого целевого IP-адреса, можно указать: table netdev x { set y { typeof ip daddr size 65535 quota over 10000 mbytes } chain y { type filter hook egress device «eth0» priority filter; policy accept; ip daddr @y drop } } # nft add element inet x y { 8.8.8.8 } # ping -c 2 8.8.8.8 # nft list ruleset table netdev x { set y { type ipv4_addr size 65535 quota over 10000 mbytes elements = { 8.8.8.8 quota over 10000 mbytes used 196 bytes } } chain y { type filter hook egress device «eth0» priority filter; policy accept; ip daddr @y drop } }
Разрешено использование констант в set-списках. Например, при использования в качестве ключа списка адреса назначения и идентификатора VLAN можно напрямую указать номер VLAN (daddr . 123): table netdev t { set s { typeof ether saddr . vlan id size 2048 flags dynamic,timeout timeout 1m } chain c { type filter hook ingress device eth0 priority 0; policy accept; ether type != 8021q update @s { ether daddr . 123 } counter } }
Добавлена новая команда «destroy» для безоговорочного удаления объектов (в отличие от команды delete не генерирует ENOENT при попытке удаления отсутствующего объекта). Для работы требуется как минимум ядро Linux 6.3-rc. destroy table ip filter

ប្រភព: opennet.ru

ការចេញផ្សាយតម្រងកញ្ចប់ព័ត៌មាន nftables 1.0.7

បន្ថែមមតិយោបល់ ответОтменить