ಪ್ಯಾಕೆಟ್ ಫಿಲ್ಟರ್ ಬಿಡುಗಡೆ , ಇದನ್ನು IPv4, IPv6, ARP, ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಬ್ರಿಡ್ಜ್ಗಳಿಗಾಗಿ ಪ್ಯಾಕೆಟ್ ಫಿಲ್ಟರಿಂಗ್ ಇಂಟರ್ಫೇಸ್ಗಳನ್ನು ಏಕೀಕರಿಸುವ ಮೂಲಕ iptables, ip6table, arptables ಮತ್ತು ebtables ಗಳಿಗೆ ಬದಲಿಯಾಗಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗುತ್ತಿದೆ. nftables ಪ್ಯಾಕೇಜ್ ಬಳಕೆದಾರ ಸ್ಥಳದಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಪ್ಯಾಕೆಟ್ ಫಿಲ್ಟರ್ ಘಟಕಗಳನ್ನು ಒಳಗೊಂಡಿದೆ, ಆದರೆ ಕರ್ನಲ್-ಮಟ್ಟದ ಕಾರ್ಯವನ್ನು ಕರ್ನಲ್ನ ಭಾಗವಾಗಿರುವ nf_tables ಉಪವ್ಯವಸ್ಥೆಯಿಂದ ಒದಗಿಸಲಾಗುತ್ತದೆ. Linux ಬಿಡುಗಡೆ 3.13 ರಿಂದ, nftables ಬಿಡುಗಡೆ 0.9.2 ಗೆ ಅಗತ್ಯವಿರುವ ಬದಲಾವಣೆಗಳನ್ನು ಕೋರ್ನಲ್ಲಿ ಸೇರಿಸಬೇಕು. Linux 5.3.
ಕರ್ನಲ್ ಮಟ್ಟವು ಪ್ಯಾಕೆಟ್ಗಳಿಂದ ಡೇಟಾವನ್ನು ಹೊರತೆಗೆಯಲು, ಡೇಟಾ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಮತ್ತು ಹರಿವಿನ ನಿಯಂತ್ರಣಕ್ಕೆ ಮೂಲಭೂತ ಕಾರ್ಯಗಳನ್ನು ಒದಗಿಸುವ ಸಾಮಾನ್ಯ ಪ್ರೋಟೋಕಾಲ್-ಸ್ವತಂತ್ರ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಮಾತ್ರ ಒದಗಿಸುತ್ತದೆ. ಫಿಲ್ಟರಿಂಗ್ ಲಾಜಿಕ್ ಮತ್ತು ಪ್ರೋಟೋಕಾಲ್-ನಿರ್ದಿಷ್ಟ ಹ್ಯಾಂಡ್ಲರ್ಗಳನ್ನು ಬಳಕೆದಾರರ ಜಾಗದಲ್ಲಿ ಬೈಟ್ಕೋಡ್ಗೆ ಸಂಕಲಿಸಲಾಗುತ್ತದೆ, ನಂತರ ಈ ಬೈಟ್ಕೋಡ್ ಅನ್ನು ನೆಟ್ಲಿಂಕ್ ಇಂಟರ್ಫೇಸ್ ಬಳಸಿ ಕರ್ನಲ್ಗೆ ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು BPF (ಬರ್ಕ್ಲಿ ಪ್ಯಾಕೆಟ್ ಫಿಲ್ಟರ್ಗಳು) ಅನ್ನು ನೆನಪಿಸುವ ವಿಶೇಷ ವರ್ಚುವಲ್ ಯಂತ್ರದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ. ಈ ವಿಧಾನವು ಕರ್ನಲ್ ಮಟ್ಟದಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಫಿಲ್ಟರಿಂಗ್ ಕೋಡ್ನ ಗಾತ್ರವನ್ನು ಗಣನೀಯವಾಗಿ ಕಡಿಮೆ ಮಾಡಲು ಮತ್ತು ಬಳಕೆದಾರರ ಜಾಗಕ್ಕೆ ಪ್ರೋಟೋಕಾಲ್ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಪಾರ್ಸಿಂಗ್ ನಿಯಮಗಳು ಮತ್ತು ತರ್ಕದ ಎಲ್ಲಾ ಕಾರ್ಯಗಳನ್ನು ಸರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಮುಖ್ಯ ಆವಿಷ್ಕಾರಗಳು:
- ಲೇಯರ್ 4 ಪ್ರೋಟೋಕಾಲ್ ಪ್ರಕಾರವನ್ನು ಲೆಕ್ಕಿಸದೆಯೇ ಸಾರಿಗೆ ಲೇಯರ್ ಪ್ಯಾಕೆಟ್ ಹೆಡರ್ನಿಂದ ಪೋರ್ಟ್ ಸಂಖ್ಯೆಯನ್ನು ಪರಿಶೀಲಿಸುವ ಸಾಮರ್ಥ್ಯ:
ನಿಯಮ xy ip ಪ್ರೋಟೋಕಾಲ್ ಸೇರಿಸಿ {tcp, udp } ನೇ ಡಿಪೋರ್ಟ್ 53
- ಅಂಶ ಸೆಟ್ ಜೀವಿತಾವಧಿ ಚೇತರಿಕೆಗೆ ಬೆಂಬಲ:
ಎಲಿಮೆಂಟ್ ip xy ಸೇರಿಸಿ {1.1.1.1 ಟೈಮ್ಔಟ್ 30s ಅವಧಿ 15 ಸೆ.}
- IPv4 ಪ್ಯಾಕೆಟ್ಗಳಿಂದ ಪ್ರತ್ಯೇಕ ಆಯ್ಕೆಗಳನ್ನು (lsrr, rr, ssrr ಮತ್ತು ra) ಪರಿಶೀಲಿಸುವ ಸಾಮರ್ಥ್ಯ:
ನಿಯಮವನ್ನು ಸೇರಿಸಿ xy ip ಆಯ್ಕೆ rr ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ ಡ್ರಾಪ್
ರೂಟಿಂಗ್ ಆಯ್ಕೆಗಳಿಗಾಗಿ, ಪ್ರಕಾರ, ptr, ಉದ್ದ ಮತ್ತು addr ಕ್ಷೇತ್ರಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಸಾಧ್ಯವಿದೆ:
ನಿಯಮವನ್ನು ಸೇರಿಸಿ xy ip ಆಯ್ಕೆಯನ್ನು rr ಟೈಪ್ 1 ಡ್ರಾಪ್
- ಅಭಿವ್ಯಕ್ತಿಗಳಲ್ಲಿ ನೆಟ್ವರ್ಕ್ ಪೂರ್ವಪ್ರತ್ಯಯಗಳು ಮತ್ತು ವಿಳಾಸ ಶ್ರೇಣಿಗಳನ್ನು ಸೂಚಿಸಲು ಈಗ ಸಾಧ್ಯವಿದೆ:
iifname ens3 ಸ್ನ್ಯಾಟ್ 10.0.0.0/28
iifname ens3 ಸ್ನ್ಯಾಟ್ ಟು 10.0.0.1-10.0.0.15 - ಸರಣಿ ವ್ಯಾಖ್ಯಾನಗಳಲ್ಲಿ ವೇರಿಯೇಬಲ್ಗಳನ್ನು ಬಳಸುವುದಕ್ಕೆ ಬೆಂಬಲ:
default_policy ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಿ = ಸ್ವೀಕರಿಸಿ
ಚೈನ್ ಐಪಿ ಫೂ ಬಾರ್ ಸೇರಿಸಿ {ಟೈಪ್ ಫಿಲ್ಟರ್ ಹುಕ್ ಇನ್ಪುಟ್ ಆದ್ಯತೆಯ ಫಿಲ್ಟರ್; ನೀತಿ $default_policy} - ಸರಪಳಿಯ ಆದ್ಯತೆಯನ್ನು ಈಗ ಸಂಖ್ಯಾತ್ಮಕವಾಗಿ ಮತ್ತು ಸಾಂಕೇತಿಕವಾಗಿ ಸೂಚಿಸಬಹುದು:
ಪ್ರಿಯೋ = ಫಿಲ್ಟರ್ ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಿ
ಪ್ರಿಯೋನಮ್ = 10 ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಿ
ಪ್ರಿಆಫ್ಸೆಟ್ = "ಫಿಲ್ಟರ್ - 150" ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಿಟೇಬಲ್ ಐಪಿ ಫೂ ಸೇರಿಸಿ
ಚೈನ್ ಐಪಿ ಫೂ ಬಾರ್ ಸೇರಿಸಿ {ಟೈಪ್ ಫಿಲ್ಟರ್ ಹುಕ್ ಇನ್ಪುಟ್ ಆದ್ಯತೆ $prio; }
ಚೈನ್ ಐಪಿ ಫೂ ಬೆರ್ ಸೇರಿಸಿ {ಟೈಪ್ ಫಿಲ್ಟರ್ ಹುಕ್ ಇನ್ಪುಟ್ ಆದ್ಯತೆ $ಪ್ರಿಯೋನಮ್; }
ಚೈನ್ IP ಫೂ ಬೋರ್ ಸೇರಿಸಿ {ಟೈಪ್ ಫಿಲ್ಟರ್ ಹುಕ್ ಇನ್ಪುಟ್ ಆದ್ಯತೆ $prioffset; } - ಸಿನ್ಪ್ರಾಕ್ಸಿ ಮಾಡ್ಯೂಲ್ಗೆ ಬೆಂಬಲವನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ಸಿನ್ಪ್ರಾಕ್ಸಿ ರಕ್ಷಣೆಯ ಅಡಿಯಲ್ಲಿ TCP ಪೋರ್ಟ್ 8888 ಅನ್ನು ಇರಿಸಲು, ನೀವು ಈ ಕೆಳಗಿನ ನಿಯಮಗಳನ್ನು ಬಳಸಬಹುದು:
ಟೇಬಲ್ ip x {
ಚೈನ್ y {
ಕೌಟುಂಬಿಕತೆ ಫಿಲ್ಟರ್ ಹುಕ್ ಪೂರ್ವನಿರ್ಧರಿತ ಆದ್ಯತೆಯ ಕಚ್ಚಾ; ನೀತಿ ಸ್ವೀಕರಿಸಿ;
tcp dport 8888 tcp ಫ್ಲ್ಯಾಗ್ಗಳು ಸಿನ್ ನೋಟ್ರಾಕ್
}ಚೈನ್ z {
ಟೈಪ್ ಫಿಲ್ಟರ್ ಹುಕ್ ಫಾರ್ವರ್ಡ್ ಆದ್ಯತೆಯ ಫಿಲ್ಟರ್; ನೀತಿ ಸ್ವೀಕರಿಸಿ;
tcp dport 8888 ct ಸ್ಥಿತಿ ಅಮಾನ್ಯವಾಗಿದೆ, ಅನ್ಟ್ರಾಕ್ಡ್ ಸಿನ್ಪ್ರಾಕ್ಸಿ mss 1460 \\
wscale 7 ಟೈಮ್ಸ್ಟ್ಯಾಂಪ್ ಸ್ಯಾಕ್-ಪರ್ಮ್ ಸಿಟಿ ಸ್ಥಿತಿ ಅಮಾನ್ಯ ಡ್ರಾಪ್
}
} - ಬಹು ಸಂಪರ್ಕಗಳ ಅಗತ್ಯವಿರುವ ಪ್ರೋಟೋಕಾಲ್ಗಳು ಮತ್ತು ಸನ್ನಿವೇಶಗಳಲ್ಲಿ ಬಳಸಲಾಗುವ ಕಾಂಟ್ರಾಕ್ ಕೋಷ್ಟಕದಲ್ಲಿ ಪ್ರಸ್ತುತ ಸಂಪರ್ಕದೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದ ನಿರೀಕ್ಷಿತ ಹೆಚ್ಚುವರಿ ಸಂಪರ್ಕಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಲು, ನೀವು ಈಗ ಪ್ರಮಾಣಿತ ನಿಯಮ ಸೆಟ್ಗಳ ಮೂಲಕ ನೀತಿಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಬಹುದು. ಉದಾಹರಣೆಗೆ, TCP ಪೋರ್ಟ್ 8888 ಗೆ ಸಂಪರ್ಕಗಳ ನಂತರ ಪೋರ್ಟ್ 5432 ಗೆ ಯಾವ ನಂತರದ ಸಂಪರ್ಕಗಳನ್ನು ನಿರೀಕ್ಷಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸಲು, ನೀವು ಈ ಕೆಳಗಿನ ನಿಯಮಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು:
ಟೇಬಲ್ x {
ct ನಿರೀಕ್ಷೆ ನನ್ನ ನಿರೀಕ್ಷೆ {
ಪ್ರೋಟೋಕಾಲ್ tcp
ಡಿಪೋರ್ಟ್ 5432
ಸಮಯಾವಧಿ 1ಗಂ
ಗಾತ್ರ 12
ಎಲ್ 3 ಪ್ರೊಟೊ ಐಪಿ
}ಚೈನ್ ಇನ್ಪುಟ್ {
ಟೈಪ್ ಫಿಲ್ಟರ್ ಹುಕ್ ಇನ್ಪುಟ್ ಆದ್ಯತೆ 0;
ct ರಾಜ್ಯ ಹೊಸ tcp dport 8888 ct ನಿರೀಕ್ಷೆ ಸೆಟ್ ನನ್ನ ನಿರೀಕ್ಷೆ
ct ರಾಜ್ಯ ಸ್ಥಾಪಿಸಲಾಗಿದೆ, ಸಂಬಂಧಿತ ಕೌಂಟರ್ ಸ್ವೀಕರಿಸಿ
}
}
ಮೂಲ: opennet.ru
