Navoaka ny sivana fonosana nftables 0.9.9. Mampiray ireo interface sivana fonosana ho an'ny IPv4, IPv6, ARP, ary tambajotra (kendrena ho solon'ny iptables, ip6table, arptables, ary ebtables) izy io. Navoaka niaraka tamin'izay koa ny tranomboky libnftnl 1.2.0 miaraka aminy, izay manome API ambany lenta hifandraisana amin'ny rafitra nf_tables. Nampidirina tao amin'ny kernel ireo fanovana ilaina amin'ny nftables 0.9.9. Linux 5.13-rc1.
Ny fonosana nftables dia misy ireo singa sivana fonosana izay miasa ao amin'ny habaka mpampiasa, raha ny asa amin'ny ambaratonga kernel kosa dia omen'ny subsystem nf_tables, izay anisan'ny kernel. Linux Hatramin'ny famoahana 3.13, interface generic tsy miankina amin'ny protocole ihany no omena amin'ny ambaratonga kernel, izay manome fiasa fototra amin'ny fakana angona avy amin'ny pakety, fanaovana asa angona, ary fanaraha-maso ny fikorianan'ny angona.
Ny fitsipika sivana sy ireo mpitantana manokana ny protocole dia angonina ao anaty bytecode ao amin'ny habaka mpampiasa, aorian'izay dia ampidirina ao amin'ny kernel ity bytecode ity amin'ny alàlan'ny interface Netlink ary tanterahina ao amin'ny kernel amin'ny fomba manokana. milina virtoaly, mampahatsiahy ny BPF (Berkeley Packet Filters). Ity fomba fiasa ity dia ahafahana mampihena be ny haben'ny kaody sivana miasa amin'ny ambaratonga kernel ary mamindra ny fanadihadian'ny fitsipika rehetra sy ny lojika protocole ho any amin'ny habaka mpampiasa.
Fanavaozana lehibe:
- Ny fahafahana mamindra ny fanodinana tabilao mikoriana mankany amin'ny lafin'ny adaptatera tambajotra dia nampiharina, navela tamin'ny fampiasana ny saina 'offload'. Flowtable dia rafitra iray hanamafisana ny lalan'ny famerenan'ny packet, izay tsy mihatra afa-tsy amin'ny fonosana voalohany ny fandehanana feno amin'ny rojo fanodinana fitsipika rehetra, ary alefa mivantana ny fonosana hafa rehetra ao amin'ny zotra. table ip global { flowtable f { sivana laharam-pahamehana miditra amin'ny hook + fitaovana 1 = {lan3, lan0, wan } saina offload } rojo vy mandroso { karazana sivana fanivanana fanivanana laharam-pahamehana; manaiky ny politika; ip protocol {tcp, udp } flow add @f } chain post {type nat hook postrouting priority filter; manaiky ny politika; oifname "wan" masquerade } }
- Fanampiana fanampiny amin'ny fametahana saina tompony amin'ny latabatra mba hiantohana ny fampiasana manokana ny latabatra amin'ny alàlan'ny dingana iray. Rehefa tapitra ny dingana iray dia voafafa ho azy ny latabatra mifandray aminy. Ny fampahalalana momba ny dingana dia aseho amin'ny alàlan'ny fanariana fitsipika amin'ny endrika fanehoan-kevitra: table ip x { # progname nft flags owner chain y { type filter hook input priority filter; manaiky ny politika; fonosana counter 1 byte 309 } }
- Fanohanana fanampiny ho an'ny fanondroana IEEE 802.1ad (VLAN stacking na QinQ), izay mamaritra ny fomba hanoloana ny marika VLAN marobe ao anaty frame Ethernet tokana. Ohatra, mba hanamarinana ny karazana ivelany Ethernet frame 8021ad sy vlan id=342, azonao atao ny mampiasa ny fanorenana ... etera karazana 802.1ad vlan id 342 mba hanamarinana ny ivelany karazana Ethernet frame 8021ad/vlan id=1, nested 802.1 q/vlan id=2 ary encapsulation packet IP fanampiny: ... karazana etera 8021ad vlan id 1 karazana vlan 8021q vlan id 2 karazana ip counter
- Fanampiana fanampiny amin'ny fitantanana loharanon-karena amin'ny alàlan'ny cgroups hierarchy mitambatra v2. Ny fahasamihafana lehibe eo amin'ny cgroups v2 sy v1 dia ny fampiasana ambaratongan'ny cgroups mahazatra ho an'ny karazana loharano rehetra, fa tsy ambaratonga samihafa amin'ny fizarana loharanon-karena CPU, ho an'ny fanaraha-maso ny fanjifana fahatsiarovana, ary ho an'ny I/O. Ohatra, mba hanamarinana raha mifanaraka amin'ny saron-tava "system.slice" ny razamben'ny socket amin'ny ambaratonga voalohany cgroupv2, dia azonao atao ny mampiasa ny fananganana: ... socket cgroupv2 ambaratonga 1 "system.slice"
- Nampiana ny fahafahana manamarina ireo singa ao amin'ny fonosana SCTP (ny fiasa ilaina amin'ny fampiasana azy dia hiseho ao amin'ny kernel Linux 5.14). Ohatra, mba hijerena raha misy sombin-drakitra misy ny karazana 'data' sy ny saha 'type' ny fonosana iray: … misy ny angon-drakitra sctp chunk … karazana angon-drakitra sctp chunk 0
- Ny fanatanterahana ny fampandehanana ny fametahana fitsipika dia nafaingana in-droa teo ho eo tamin'ny fampiasana ny saina "-f". Nohafainganina ihany koa ny famoahana ny lisitry ny fitsipika.
- Misy endrika compact hanamarinana raha toa ka napetraka ny bits saina. Ohatra, mba hanamarina fa tsy napetraka ny bits snat sy dnat dia azonao atao ny mamaritra hoe: ... ct status ! snat,dnat hanamarina fa ny syn bit dia napetraka ao amin'ny bitmask syn,ack: ... tcp flags syn / syn,ack hanamarina fa ny fin sy ny bits voalohany dia tsy napetraka ao amin'ny bitmask syn,ack,fin,rst: ... tcp saina ! = fin,rst / syn,ack,fin,rst
- Avelao ny teny fanalahidy "didim-pitsarana" amin'ny famaritana ny karazana sari-tany: ampio sari-tany xm {typeof iifname . ip protocol th dport: didim-pitsarana ;}
Source: opennet.ru
