ProHoster > Блог > rongo ipurangi > Nftables packet tātari tuku 1.0.1

Nftables packet tātari tuku 1.0.1

Ko te tukunga o nga packet filter nftables 1.0.1 kua whakaputahia, he whakakotahi i nga atanga tātari packet mo IPv4, IPv6, ARP me nga piriti whatunga (e whai ana ki te whakakapi i nga iptables, ip6table, arptables me nga ebtables). Ko nga huringa e hiahiatia ana mo te tukunga nftables 1.0.1 ki te mahi kei roto i te kernel Linux 5.16-rc1.

Kei roto i te kete nftables nga waahanga tātari packet e rere ana i te waahi kaiwhakamahi, i te wa e whakaratohia ana te mahi taumata-kero e te nf_tables subsystem, he waahanga o te kernel Linux mai i te tukunga 3.13. Ko te taumata kernel e whakarato ana i te atanga kawa-motuhake noa e whakarato ana i nga mahi taketake mo te tango raraunga mai i nga paatete, te mahi raraunga, me te whakahaere rere.

Ko nga ture tātari ma ratou ano me nga kaikawe kawa motuhake ka whakahiatohia ki te bytecode mokowā-kaiwhakamahi, muri iho ka utaina tenei bytecode ki roto i te kernel ma te whakamahi i te atanga Netlink ka mahia i roto i te kernel i roto i te miihini mariko motuhake e rite ana ki te BPF (Berkeley Packet Filters). Ko tenei huarahi ka taea te whakaiti i te rahi o te waehere tātari e rere ana i te taumata kernel me te neke i nga mahi katoa o nga ture parsing me te arorau o te mahi me nga kawa ki te waahi kaiwhakamahi.

Nga mahi hou:

  • He iti ake te kai mahara i te wa e utaina ana nga huinga nui me nga rarangi mahere.
  • Kua whakaterehia te utaina o nga rarangi huinga me te mapi.
  • Kua whakaterehia te putanga o nga ripanga me nga mekameka kua tohua i roto i nga huinga ture nui. Hei tauira, ko te wa mahi o te whakahau "nft list ruleset" ki te whakaatu i te huinga ture me te 100 mano rarangi ko te 3.049 hēkona, a ka whakaputa noa i nga ripanga nat me te tātari ("nft list table nat", "nft list table filter. ”) ka whakahekehia ki te 1.969 me te 0.697 hēkona.
  • Kua whakaterehia te mahinga o nga patai me te "--terse" i te wa e tukatuka ana i nga ture me nga rarangi huinga nui me nga rarangi-mapi.
  • Ka taea te tarai i nga waka mai i te mekameka "egress", e tuka ana i te taumata rite tonu ki te kaikawe puka i roto i te mekameka netdev (egress hook), i.e. i te waahi ka whiwhi te taraiwa i tetahi paatete mai i te puranga whatunga kernel. ripanga netdev tātari { chain egress { momo tātari matau egress device = { eth0, eth1 } kaupapa matua 0; meta priority set ip saddr map { 192.168.10.2 : abcd:2, 192.168.10.3 : abcd:3 } } }
  • Ka taea te whakaorite me te whakarereketanga o nga paita i roto i te pane me nga ihirangi o te paatete i tetahi waahi kua whakaritea. # nft tāpiri ture xy @ih,32,32 0x14000000 porotiti # nft tāpiri ture xy @ih,32,32 huinga 0x14000000 porotiti

Source: opennet.ru

Tāpiri i te kōrero