Ubuntu 20.10 ວາງແຜນທີ່ຈະປ່ຽນຈາກ iptables ໄປ nftables

ຕິດຕາມ Fedora и Debian ນັກພັດທະນາ Ubuntu ກໍາລັງພິຈາລະນາຄວາມເປັນໄປໄດ້ ສະຫຼັບໄປເປັນຕົວກອງແພັກເກັດເລີ່ມຕົ້ນ nftables.
ເພື່ອຮັກສາຄວາມເຂົ້າກັນໄດ້ໃນດ້ານຫລັງ, ແນະນໍາໃຫ້ໃຊ້ຊຸດ iptables-nft, ເຊິ່ງສະຫນອງຜົນປະໂຫຍດທີ່ມີ syntax ເສັ້ນຄໍາສັ່ງດຽວກັນກັບ iptables, ແຕ່ແປກົດລະບຽບຜົນໄດ້ຮັບເຂົ້າໄປໃນ nf_tables bytecode. ການປ່ຽນແປງແມ່ນວາງແຜນທີ່ຈະລວມຢູ່ໃນການປ່ອຍ Ubuntu 20.10 ຫຼຸດລົງ.

ນີ້ແມ່ນຄວາມພະຍາຍາມຄັ້ງທີສອງທີ່ຈະຍ້າຍ Ubuntu ໄປ nftables. ຄວາມພະຍາຍາມຄັ້ງທໍາອິດແມ່ນໄດ້ດໍາເນີນໃນປີກາຍນີ້, ແຕ່ຖືກປະຕິເສດຍ້ອນຄວາມບໍ່ເຂົ້າກັນກັບຊຸດເຄື່ອງມື LXD. ໃນປັດຈຸບັນຢູ່ໃນ LXD ແລ້ວ ແມ່ນມີຢູ່ ການສະຫນັບສະຫນູນພື້ນເມືອງສໍາລັບ nftables ແລະມັນສາມາດເຮັດວຽກກັບ backend ການກັ່ນຕອງ packet ໃຫມ່. ສໍາລັບຜູ້ໃຊ້ທີ່ບໍ່ມີຊັ້ນຄວາມເຂົ້າກັນໄດ້ພຽງພໍ, ຖືກປະຖິ້ມ ຄວາມສາມາດໃນການຕິດຕັ້ງ iptables ຄລາສສິກ, ip6tables, arptables ແລະ ebtables ກັບ backend ເກົ່າ.

ຈື່ໄວ້ວ່າຢູ່ໃນຕົວກອງແພັກເກັດ nftables ການໂຕ້ຕອບການກັ່ນຕອງແພັກເກັດສໍາລັບ IPv4, IPv6, ARP ແລະຂົວເຄືອຂ່າຍໄດ້ຮັບການເປັນເອກະພາບ. ຊຸດ nftables ປະກອບມີອົງປະກອບການກັ່ນຕອງແພັກເກັດທີ່ດໍາເນີນການຢູ່ໃນພື້ນທີ່ຜູ້ໃຊ້, ໃນຂະນະທີ່ການເຮັດວຽກໃນລະດັບແກ່ນແມ່ນສະຫນອງໃຫ້ໂດຍລະບົບຍ່ອຍ nf_tables, ເຊິ່ງເປັນສ່ວນຫນຶ່ງຂອງ Linux kernel ນັບຕັ້ງແຕ່ການປ່ອຍ 3.13. ລະດັບ kernel ສະຫນອງພຽງແຕ່ສ່ວນຕິດຕໍ່ແບບເອກະລາດຂອງໂປໂຕຄອນທົ່ວໄປທີ່ສະຫນອງຫນ້າທີ່ພື້ນຖານສໍາລັບການສະກັດຂໍ້ມູນຈາກແພັກເກັດ, ປະຕິບັດການຂໍ້ມູນ, ແລະການຄວບຄຸມການໄຫຼ.

ກົດລະບຽບການກັ່ນຕອງແລະຕົວຈັດການສະເພາະຂອງໂປໂຕຄອນໄດ້ຖືກລວບລວມເຂົ້າໄປໃນ bytecode ໃນພື້ນທີ່ຜູ້ໃຊ້, ຫຼັງຈາກນັ້ນ bytecode ນີ້ຖືກໂຫລດເຂົ້າໄປໃນ kernel ໂດຍໃຊ້ການໂຕ້ຕອບ Netlink ແລະຖືກປະຕິບັດໃນ kernel ໃນເຄື່ອງ virtual ພິເສດທີ່ລະນຶກເຖິງ BPF (Berkeley Packet Filters). ວິທີການນີ້ຊ່ວຍໃຫ້ທ່ານສາມາດຫຼຸດລົງຢ່າງຫຼວງຫຼາຍຂອງລະຫັດການກັ່ນຕອງທີ່ເຮັດວຽກຢູ່ໃນລະດັບແກ່ນແລະຍ້າຍຫນ້າທີ່ທັງຫມົດຂອງກົດລະບຽບການແຍກແລະເຫດຜົນສໍາລັບການເຮັດວຽກກັບໂປໂຕຄອນເຂົ້າໄປໃນພື້ນທີ່ຂອງຜູ້ໃຊ້.

ແຫຼ່ງຂໍ້ມູນ: opennet.ru