ಪ್ಯಾಕೆಟ್ ಫಿಲ್ಟರ್ nftables 1.0.1 ಬಿಡುಗಡೆಯನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ, IPv4, IPv6, ARP ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಸೇತುವೆಗಳಿಗಾಗಿ ಪ್ಯಾಕೆಟ್ ಫಿಲ್ಟರಿಂಗ್ ಇಂಟರ್ಫೇಸ್ಗಳನ್ನು ಏಕೀಕರಿಸುತ್ತದೆ (iptables, ip6table, arptables ಮತ್ತು ebtables ಅನ್ನು ಬದಲಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿದೆ). nftables 1.0.1 ಬಿಡುಗಡೆಯು ಕಾರ್ಯನಿರ್ವಹಿಸಲು ಅಗತ್ಯವಿರುವ ಬದಲಾವಣೆಗಳನ್ನು Linux ಕರ್ನಲ್ 5.16-rc1 ನಲ್ಲಿ ಸೇರಿಸಲಾಗಿದೆ.
nftables ಪ್ಯಾಕೇಜ್ ಬಳಕೆದಾರರ ಜಾಗದಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಪ್ಯಾಕೆಟ್ ಫಿಲ್ಟರ್ ಘಟಕಗಳನ್ನು ಒಳಗೊಂಡಿದೆ, ಆದರೆ ಕರ್ನಲ್-ಮಟ್ಟದ ಕೆಲಸವನ್ನು nf_tables ಉಪವ್ಯವಸ್ಥೆಯಿಂದ ಒದಗಿಸಲಾಗುತ್ತದೆ, ಇದು ಬಿಡುಗಡೆಯಾದ 3.13 ರಿಂದ ಲಿನಕ್ಸ್ ಕರ್ನಲ್ನ ಭಾಗವಾಗಿದೆ. ಕರ್ನಲ್ ಮಟ್ಟವು ಪ್ಯಾಕೆಟ್ಗಳಿಂದ ಡೇಟಾವನ್ನು ಹೊರತೆಗೆಯಲು, ಡೇಟಾ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಮತ್ತು ಹರಿವಿನ ನಿಯಂತ್ರಣಕ್ಕೆ ಮೂಲಭೂತ ಕಾರ್ಯಗಳನ್ನು ಒದಗಿಸುವ ಸಾಮಾನ್ಯ ಪ್ರೋಟೋಕಾಲ್-ಸ್ವತಂತ್ರ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಮಾತ್ರ ಒದಗಿಸುತ್ತದೆ.
ಫಿಲ್ಟರಿಂಗ್ ನಿಯಮಗಳು ಮತ್ತು ಪ್ರೋಟೋಕಾಲ್-ನಿರ್ದಿಷ್ಟ ಹ್ಯಾಂಡ್ಲರ್ಗಳನ್ನು ಯೂಸರ್-ಸ್ಪೇಸ್ ಬೈಟ್ಕೋಡ್ಗೆ ಸಂಕಲಿಸಲಾಗುತ್ತದೆ, ನಂತರ ಈ ಬೈಟ್ಕೋಡ್ ಅನ್ನು ನೆಟ್ಲಿಂಕ್ ಇಂಟರ್ಫೇಸ್ ಬಳಸಿ ಕರ್ನಲ್ಗೆ ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು ಬಿಪಿಎಫ್ (ಬರ್ಕ್ಲಿ ಪ್ಯಾಕೆಟ್ ಫಿಲ್ಟರ್ಗಳು) ಹೋಲುವ ವಿಶೇಷ ವರ್ಚುವಲ್ ಗಣಕದಲ್ಲಿ ಕರ್ನಲ್ನಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ. ಈ ವಿಧಾನವು ಕರ್ನಲ್ ಮಟ್ಟದಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಫಿಲ್ಟರಿಂಗ್ ಕೋಡ್ನ ಗಾತ್ರವನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಕಡಿಮೆ ಮಾಡಲು ಮತ್ತು ಪಾರ್ಸಿಂಗ್ ನಿಯಮಗಳ ಎಲ್ಲಾ ಕಾರ್ಯಗಳನ್ನು ಮತ್ತು ಪ್ರೋಟೋಕಾಲ್ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ತರ್ಕವನ್ನು ಬಳಕೆದಾರರ ಜಾಗಕ್ಕೆ ಸರಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ.
ಮುಖ್ಯ ಆವಿಷ್ಕಾರಗಳು:
- ದೊಡ್ಡ ಸೆಟ್ ಮತ್ತು ಮ್ಯಾಪ್ ಪಟ್ಟಿಗಳನ್ನು ಲೋಡ್ ಮಾಡುವಾಗ ಕಡಿಮೆ ಮೆಮೊರಿ ಬಳಕೆ.
- ಸೆಟ್ ಮತ್ತು ಮ್ಯಾಪ್ ಪಟ್ಟಿಗಳ ಮರುಲೋಡ್ ಅನ್ನು ವೇಗಗೊಳಿಸಲಾಗಿದೆ.
- ದೊಡ್ಡ ನಿಯಮ ಸೆಟ್ಗಳಲ್ಲಿ ಆಯ್ದ ಕೋಷ್ಟಕಗಳು ಮತ್ತು ಸರಪಳಿಗಳ ಔಟ್ಪುಟ್ ಅನ್ನು ವೇಗಗೊಳಿಸಲಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, 100 ಸಾವಿರ ಸಾಲುಗಳೊಂದಿಗೆ ನಿಯಮಗಳ ಸೆಟ್ ಅನ್ನು ಪ್ರದರ್ಶಿಸಲು "nft ಪಟ್ಟಿ ನಿಯಮಗಳು" ಆಜ್ಞೆಯ ಕಾರ್ಯಗತಗೊಳಿಸುವ ಸಮಯ 3.049 ಸೆಕೆಂಡುಗಳು, ಮತ್ತು ಕೇವಲ nat ಮತ್ತು ಫಿಲ್ಟರ್ ಕೋಷ್ಟಕಗಳನ್ನು ("nft ಪಟ್ಟಿ ಟೇಬಲ್ ನ್ಯಾಟ್", "nft ಪಟ್ಟಿ ಟೇಬಲ್ ಫಿಲ್ಟರ್ ಅನ್ನು ಮಾತ್ರ ಔಟ್ಪುಟ್ ಮಾಡುವಾಗ ”) ಅನ್ನು 1.969 ಮತ್ತು 0.697 ಸೆಕೆಂಡುಗಳಿಗೆ ಕಡಿಮೆ ಮಾಡಲಾಗಿದೆ.
- ದೊಡ್ಡ ಸೆಟ್-ಮತ್ತು ನಕ್ಷೆ-ಪಟ್ಟಿಗಳೊಂದಿಗೆ ನಿಯಮಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ "--terse" ಆಯ್ಕೆಯೊಂದಿಗೆ ಪ್ರಶ್ನೆಗಳ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ವೇಗಗೊಳಿಸಲಾಗಿದೆ.
- "ಎಗ್ರೆಸ್" ಸರಪಳಿಯಿಂದ ದಟ್ಟಣೆಯನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಲು ಸಾಧ್ಯವಿದೆ, ಇದು ನೆಟ್ಡೆವ್ ಸರಪಳಿಯಲ್ಲಿ (ಎಗ್ರೆಸ್ ಹುಕ್) ಎಗ್ರೆಸ್ ಹ್ಯಾಂಡ್ಲರ್ನಂತೆಯೇ ಅದೇ ಮಟ್ಟದಲ್ಲಿ ಸಂಸ್ಕರಿಸಲ್ಪಡುತ್ತದೆ, ಅಂದರೆ. ಕರ್ನಲ್ ನೆಟ್ವರ್ಕ್ ಸ್ಟಾಕ್ನಿಂದ ಚಾಲಕ ಪ್ಯಾಕೆಟ್ ಅನ್ನು ಸ್ವೀಕರಿಸುವ ಹಂತದಲ್ಲಿ. ಟೇಬಲ್ ನೆಟ್ದೇವ್ ಫಿಲ್ಟರ್ {ಚೈನ್ ಎಗ್ರೆಸ್ {ಟೈಪ್ ಫಿಲ್ಟರ್ ಹುಕ್ ಎಗ್ರೆಸ್ ಡಿವೈಸ್ = {ಎಥ್0, ಎಥ್1} ಆದ್ಯತೆ 0; ಮೆಟಾ ಆದ್ಯತೆಯ ಸೆಟ್ ip saddr ನಕ್ಷೆ { 192.168.10.2 : abcd:2, 192.168.10.3 : abcd:3 } }
- ಕೊಟ್ಟಿರುವ ಆಫ್ಸೆಟ್ನಲ್ಲಿ ಹೆಡರ್ ಮತ್ತು ಪ್ಯಾಕೆಟ್ನ ವಿಷಯಗಳಲ್ಲಿ ಬೈಟ್ಗಳ ಹೊಂದಾಣಿಕೆ ಮತ್ತು ಮಾರ್ಪಾಡುಗಳನ್ನು ಅನುಮತಿಸುತ್ತದೆ. # nft ಆಡ್ ರೂಲ್ xy @ih,32,32 0x14000000 ಕೌಂಟರ್ # nft ಆಡ್ ರೂಲ್ xy @ih,32,32 ಸೆಟ್ 0x14000000 ಕೌಂಟರ್
ಮೂಲ: opennet.ru