Ko te tukunga o nga packet filter nftables 0.9.9 kua whakaputahia, he whakakotahi i nga atanga tātari packet mo IPv4, IPv6, ARP me nga piriti whatunga (e whai ana ki te whakakapi i nga iptables, ip6table, arptables me nga ebtables). I te wa ano, ko te tukunga o te hoa pukapuka libnftnl 1.2.0 i whakaputahia, e whakarato ana i te API taumata-iti mo te taunekeneke me te nf_tables subsystem. Ko nga huringa e hiahiatia ana mo te tukunga nftables 0.9.9 ki te mahi kei roto i te kernel Linux 5.13-rc1.
Kei roto i te kete nftables nga waahanga tātari packet e rere ana i te waahi kaiwhakamahi, i te wa e whakaratohia ana te mahi taumata-kero e te nf_tables subsystem, he waahanga o te kernel Linux mai i te tukunga 3.13. Ko te taumata kernel e whakarato ana i te atanga kawa-motuhake noa e whakarato ana i nga mahi taketake mo te tango raraunga mai i nga paatete, te mahi raraunga, me te whakahaere rere.
Ko nga ture tātari ma ratou ano me nga kaikawe kawa motuhake ka whakahiatohia ki te bytecode mokowā-kaiwhakamahi, muri iho ka utaina tenei bytecode ki roto i te kernel ma te whakamahi i te atanga Netlink ka mahia i roto i te kernel i roto i te miihini mariko motuhake e rite ana ki te BPF (Berkeley Packet Filters). Ko tenei huarahi ka taea te whakaiti i te rahi o te waehere tātari e rere ana i te taumata kernel me te neke i nga mahi katoa o nga ture parsing me te arorau o te mahi me nga kawa ki te waahi kaiwhakamahi.
Nga mahi hou:
- Kua whakatinanahia te kaha ki te nuku i te tukatuka ripanga rere ki te taha urutau whatunga, kua taea te whakamahi i te haki 'offload'. Ko te Ripanga Rere he tikanga mo te arotau i te ara o te whakangao i te paatete, ka tukuna te waahanga katoa o nga mekameka tukatuka ture katoa ki te paatete tuatahi, ka tukuna tika atu nga paanui katoa o te rerenga. ripanga ip ao { tepu rere f { te whiriwhiringa matua whakaurunga matau + 1 taputapu = { lan3, lan0, wan } haki wetewete } mekameka whakamua { momo tātari matau matapae tātari matua; whakaae kaupapa here; kawa ip { tcp, udp } flow add @f } chain post { type nat hook postrouting priority filter; whakaae kaupapa here; oifname "wan" whakahiato } }
- He tautoko taapiri mo te whakapiri i te haki rangatira ki te teepu hei whakarite i te whakamahinga motuhake o te ripanga ma te tukanga. Ka mutu te tukanga, ka mukua aunoatia te ripanga e hono ana. Ko nga korero e pa ana ki te tukanga ka whakaatuhia ki roto i nga ture putunga i roto i te ahua o te korero: ripanga ip x { # tohu tohu nft haki rangatira mekameka y { momo tātari matau urunga tātari matua; whakaae kaupapa here; pākete porotiti 1 paita 309 } }
- He tautoko taapiri mo te tohu IEEE 802.1ad (VLAN stacking, QinQ ranei), e whakaatu ana i te huarahi hei whakakapi i nga tohu VLAN maha ki te anga Ethernet kotahi. Hei tauira, hei tirotiro i te momo anga Ethernet waho 8021ad me vlan id=342, ka taea e koe te whakamahi i te hanga ... momo ether 802.1ad vlan id 342 ki te tirotiro i te momo waho o te anga Ethernet 8021ad/vlan id=1, kohanga 802.1 q/vlan id=2 me etahi atu whakahiatotanga paatete IP: ... momo ether 8021ad vlan id 1 momo vlan 8021q vlan id 2 momo vlan ip counter
- He tautoko taapiri mo te whakahaere rauemi ma te whakamahi i nga roopu hierarchy cgroups v2. Ko te rereketanga nui i waenga i nga cgroups v2 me v1 ko te whakamahi i te rarangi cgroups noa mo nga momo rauemi katoa, hei utu mo nga hierarchy motuhake mo te tohatoha rauemi CPU, mo te whakahaere i te kohi mahara, me te I/O. Hei tauira, ki te tirotiro mena ka rite te tipuna o te turanga i te taumata tuatahi cgroupv2 ki te kanohi "system.slice", ka taea e koe te whakamahi i te hanga: ... socket cgroupv2 level 1 "system.slice"
- Kua taapirihia te kaha ki te tirotiro i nga waahanga o nga paatete SCTP (ko nga mahi e hiahiatia ana mo tenei ka puta i te Linux 5.14 kernel). Hei tauira, ki te tirohia mena kei roto i tetahi kete he tiihi me te momo 'raraunga' me te 'momo' mara: ... sctp chunk data exist... sctp chunk data type 0
- Ko te mahi o te mahi uta ture kua whakaterehia e tata ki te rua nga wa ma te whakamahi i te haki “-f”. Kua whakaterehia ano te putanga o te rarangi ture.
- He puka kiato hei tirotiro mena kua whakaritea nga moka haki. Hei tauira, ki te tirotiro kaore i te tautuhia nga moka tuanga snat me te dnat, ka taea e koe te tohu: ... ct status ! snat,dnat ki te taki kua tautuhia te moka syn ki te syn moka moka,ack: ... nga haki tcp syn / syn,ack ki te taki ko nga paraka me te moka tuatahi kaore i te tautuhia ki te syn,ack,fin,tuamua: ... haki tcp! = fin,tuatahi / syn,ack,fin,tuatahi
- Whakaaetia te kupu "whakatau" i roto i te huinga/mahere momo whakamaramatanga: taapirihia te mapi xm {typeof iifname. kawa ip th dport: whakatau;}
Source: opennet.ru