ProHoster > Блог > interrete nuntium > nftables packet filter release 0.9.4

nftables packet filter release 0.9.4

editis packet filter release nftables 0.9.4, enucleando ut substitutio pro iptables, ip6tabula, arptableia et ebullientia, eliquando fasciculum interfaces eliquandi pro IPv4, IPv6, ARP et pontes retis. Involucrum nftables includit membra fasciculi colum quae in spatio usoris currunt, dum opus nuclei subsystem ab nf_tabularum subsystem, quae pars nuclei Linux 3.13 emissio fuit. Mutationes necessariae pro nftables 0.9.4 emissio laboris in futuro ramo nucleo comprehenduntur Linux 5.6.

Gradus nucleus solum praebet protocollo-independens interfaciem genericam, quae praecipuas functiones praebet ad notitias ex fasciculis extrahendas, datas operationes faciendo, et imperium defluentes. Regulae eliquare et tracto protocollo-specialis in spatio usoris in bytecode compilata sunt, post quae hoc bytecode oneratur in nucleum utens Netlink interface et in nucleo in peculiari virtuali machina reminiscentis BPF (Berkeley Packet Filters). Hic aditus permittit ut signanter magnitudinem codicis eliquationis in gradu nuclei currentis minuas et omnia munera regulae parsingis et logicae moveas ad operandum cum protocollis in spatium usoris.

Innovationes principales:

  • Firmamentum est pervagatus nexus (concatenationes, fasciculi quidam inscriptionum et portuum qui comparationem simpliciorem reddunt). Exempli gratia, pro statuto "albissimo" cuius elementa affectus sunt, denotans vexillum "intervallum" indicabit statutum iugis in adiunctis includere posse (ad affectum "ipv4_addr . ipv4_addr . inet_service" antea possibile fuit ut accuratas indices. par formae "192.168.10.35. 192.68.11.123", et nunc coetus inscriptionum specificare potes "80-192.168.10.35-192.168.10.40");

    mensa ip foo {
    set whitelist {
    type ipv4_addr. ipv4_addr. inet_service
    vexillum intervallum
    elementa = {192.168.10.35-192.168.10.40. 192.68.11.123-192.168.11.125. 80}
    }

    catena catenae {
    type filter hook prerouting prior filter; consilium occumbo;
    ip saddr. ip daddr. tcp dport @whitelist accept
    }
    }

  • In positis et tabulis geographicis, "typeof" uti potest, quae format elementum cum adaptatione.
    For example:

    mensa ip foo {
    set whitelist {
    typeof ip saddr
    elementa = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
    }

    catena catenae {
    type filter hook prerouting prior filter; consilium occumbo;
    ip daddr @whitelist accept
    }
    }

    mensa ip foo {
    map addr2mark {
    typeof ip saddr : meta marca
    elements = { 192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
    }
    }

  • Addidit facultatem utendi ligaturas in NAT ligaturas copulandi, quae tibi permittit ut inscriptionem et portum definias cum NAT transmutationes in tabulis geographicis vel nominatis ponit;

    nft add regula ip nat pre dnat ip addr. port to ip saddr map {1.1.1.1: 2.2.2.2. triginta}

    nft add map ip nat destinations {type ipv4_addr. inet_service: ipv4_addr. inet_service \\; }
    nft add regula ip nat pre dnat ip addr. portum ad ip saddr. tcp dport map @destinations

  • Firmamentum accelerationis ferrariae cum quibusdam operationibus eliquationibus a card retiacula peragendis. Acceleratio capacitatis est per utilitatem ethtool ("ethtool -K eth0 hw-tc-offload in"), post quod in nftables excitatur propter vexillum principale utens "offload". Cum Linux nucleo 5.6 utens, acceleratio ferramentorum adiuvatur ad congruentem campi caput et inspectionem interfaciem venientem in compositione cum accipiendo, abiecta, duplicando (dup), et transmittendi (fwd) facis. In exemplo infra, operationes omissis fasciculis ex inscriptione 192.168.30.20 venientes fiunt in gradu retis, sine fasciculis ad nucleum transeundo;

    # cat file.nft
    table netdev x {
    torquem y {
    typus filter hamo ingressu fabrica eth0 prioritas 10; flags offload;
    ip saddr 192.168.30.20 drop
    }
    }
    # nft -f file.nft

  • Meliora notitia de situ erroris in regulis.

    # nft delete regula ip yz manubrio 7
    Error: Non potest procedere regulae: Non tam lima vel directorium
    delete regula IP yz manubrio 7
    ^

    # nft delete regula ip xx handle 7
    Error: Non potest procedere regulae: Non tam lima vel directorium
    delete regula IP xx handle 7
    ^

    # Nft mensam delere twst
    Error: No such file or directory; you mean table ‘test' in family ip?
    delere mensam twst
    ^^^^

    Primum exemplum ostendit mensam "y" non esse in systemate, secundum quod "7" tracto defuerit, tertium quod typo promptus exhibetur cum nomen tabulae typum.

  • Auxilium adiectum ad reprimendum servum instrumenti "meta sdif" vel "meta sdifname";

    ... meta sdifname vrf1 ...

  • Addidit subsidium dextra laevaque subcinctus operationes. Exempli gratia, labellum exsistens fasciculum ab 1 parte relictum transferre et frenum minorem ad 1 apponere.

    meta meta meta meta marca lshift 1 vel 0x1 ...

  • Optionem effectam "-V" ad informationem versionis extensam exhibendam.

    # nft -V
    nftables v0.9.4 (Jive at Quinque)
    cli: readline
    json, sic
    minigmp: no
    libxtables: sic

  • Optiones rectae imperare nunc ante imperata specificari debent. Exempli gratia, debes denotare "nft -a list ruleset", et "nft album ruleset -a" currentem in errore proveniet.

    Source: opennet.ru

Add a comment