ProHoster > Blog > vaovao amin'ny Internet > nftables packet filter 0.9.9 famoahana

nftables packet filter 0.9.9 famoahana

Navoaka ny famotsorana ny packet filter nftables 0.9.9, mampiray ny fifandraisana amin'ny sivana packet ho an'ny IPv4, IPv6, ARP ary tetezana tambajotra (kendrena hanolo ny iptables, ip6table, arptables ary ebtables). Nandritra izany fotoana izany, navoaka ny famoaham-boky mpiara-mitory libnftnl 1.2.0, manome API ambaratonga ambany hifaneraserana amin'ny subsystem nf_tables. Ny fanovana ilaina amin'ny famoahana nftables 0.9.9 dia tafiditra ao amin'ny Linux kernel 5.13-rc1.

Ny fonosana nftables dia ahitana singa sivana fonosana izay mandeha amin'ny habaka mpampiasa, raha toa kosa ny asan'ny kernel-level dia omen'ny subsystem nf_tables, izay anisan'ny kernel Linux hatramin'ny famoahana 3.13. Ny haavon'ny kernel dia tsy manome afa-tsy interface tsy miankina amin'ny protocol generic izay manome fiasa fototra amin'ny fakana ny angona avy amin'ny fonosana, ny fampandehanana ny angona ary ny fanaraha-maso ny fikorianan'ny rano.

Ny fitsipika fanivanana sy ireo mpikirakira manokana momba ny protocole dia natambatra ho bytecode-space-n'ny mpampiasa, ary avy eo dia ampidirina ao anaty kernel ity bytecode ity amin'ny alΓ lan'ny interface Netlink ary atao ao anaty kernel ao anaty milina virtoaly manokana mitovy amin'ny BPF (Berkeley Packet Filters). Ity fomba fiasa ity dia ahafahana mampihena be ny haben'ny code sivana mandeha amin'ny haavon'ny kernel ary mamindra ny fiasa rehetra amin'ny fitsipi-pitenenana sy ny lojika miasa amin'ny protocols ho any amin'ny habaka mpampiasa.

Fanavaozana lehibe:

  • Ny fahafahana mamindra ny fanodinana tabilao mikoriana mankany amin'ny lafin'ny adaptatera tambajotra dia nampiharina, navela tamin'ny fampiasana ny saina 'offload'. Flowtable dia rafitra iray hanamafisana ny lalan'ny famerenan'ny packet, izay tsy mihatra afa-tsy amin'ny fonosana voalohany ny fandehanana feno amin'ny rojo fanodinana fitsipika rehetra, ary alefa mivantana ny fonosana hafa rehetra ao amin'ny zotra. table ip global { flowtable f { sivana laharam-pahamehana miditra amin'ny hook + fitaovana 1 = {lan3, lan0, wan } saina offload } rojo vy mandroso { karazana sivana fanivanana fanivanana laharam-pahamehana; manaiky ny politika; ip protocol {tcp, udp } flow add @f } chain post {type nat hook postrouting priority filter; manaiky ny politika; oifname "wan" masquerade } }
  • Fanampiana fanampiny amin'ny fametahana saina tompony amin'ny latabatra mba hiantohana ny fampiasana manokana ny latabatra amin'ny alΓ lan'ny dingana iray. Rehefa tapitra ny dingana iray dia voafafa ho azy ny latabatra mifandray aminy. Ny fampahalalana momba ny dingana dia aseho amin'ny alΓ lan'ny fanariana fitsipika amin'ny endrika fanehoan-kevitra: table ip x { # progname nft flags owner chain y { type filter hook input priority filter; manaiky ny politika; fonosana counter 1 byte 309 } }
  • Fanohanana fanampiny ho an'ny fanondroana IEEE 802.1ad (VLAN stacking na QinQ), izay mamaritra ny fomba hanoloana ny marika VLAN marobe ao anaty frame Ethernet tokana. Ohatra, mba hanamarinana ny karazana ivelany Ethernet frame 8021ad sy vlan id=342, azonao atao ny mampiasa ny fanorenana ... etera karazana 802.1ad vlan id 342 mba hanamarinana ny ivelany karazana Ethernet frame 8021ad/vlan id=1, nested 802.1 q/vlan id=2 ary encapsulation packet IP fanampiny: ... karazana etera 8021ad vlan id 1 karazana vlan 8021q vlan id 2 karazana ip counter
  • Fanampiana fanampiny amin'ny fitantanana loharanon-karena amin'ny alΓ lan'ny cgroups hierarchy mitambatra v2. Ny fahasamihafana lehibe eo amin'ny cgroups v2 sy v1 dia ny fampiasana ambaratongan'ny cgroups mahazatra ho an'ny karazana loharano rehetra, fa tsy ambaratonga samihafa amin'ny fizarana loharanon-karena CPU, ho an'ny fanaraha-maso ny fanjifana fahatsiarovana, ary ho an'ny I/O. Ohatra, mba hanamarinana raha mifanaraka amin'ny saron-tava "system.slice" ny razamben'ny socket amin'ny ambaratonga voalohany cgroupv2, dia azonao atao ny mampiasa ny fananganana: ... socket cgroupv2 ambaratonga 1 "system.slice"
  • Nampiana ny fahafahana manamarina ny singa amin'ny fonosana SCTP (ny fampiasa ilaina amin'izany dia hiseho ao amin'ny Linux kernel 5.14). Ohatra, mba hanamarinana raha misy fonosana misy ampahany misy karazana 'data' sy 'karazana' saha: ... sctp chunk data misy ... sctp chunk data type 0
  • Ny fanatanterahana ny fampandehanana ny fametahana fitsipika dia nafaingana in-droa teo ho eo tamin'ny fampiasana ny saina "-f". Nohafainganina ihany koa ny famoahana ny lisitry ny fitsipika.
  • Misy endrika compact hanamarinana raha toa ka napetraka ny bits saina. Ohatra, mba hanamarina fa tsy napetraka ny bits snat sy dnat dia azonao atao ny mamaritra hoe: ... ct status ! snat,dnat hanamarina fa ny syn bit dia napetraka ao amin'ny bitmask syn,ack: ... tcp flags syn / syn,ack hanamarina fa ny fin sy ny bits voalohany dia tsy napetraka ao amin'ny bitmask syn,ack,fin,rst: ... tcp saina ! = fin,rst / syn,ack,fin,rst
  • Avelao ny teny fanalahidy "didim-pitsarana" amin'ny famaritana ny karazana sari-tany: ampio sari-tany xm {typeof iifname . ip protocol th dport: didim-pitsarana ;}

Source: opennet.ru

Add a comment