ProHoster > Блог > rongo ipurangi > Nftables packet tātari tuku 1.0.2

Nftables packet tātari tuku 1.0.2

Kua whakaputahia te tukunga o nga packet filter nftables 1.0.2, te whakakotahi i nga atanga tātari paatete mo IPv4, IPv6, ARP me nga piriti whatunga (e whai ana ki te whakakapi i nga iptables, ip6table, arptables me nga ebtables). Ko nga huringa e hiahiatia ana mo te tukunga nftables 1.0.2 ki te mahi kei roto i te Linux kernel 5.17-rc.

Kei roto i te kete nftables nga waahanga tātari packet e rere ana i te waahi kaiwhakamahi, i te wa e whakaratohia ana te mahi taumata-kero e te nf_tables subsystem, he waahanga o te kernel Linux mai i te tukunga 3.13. Ko te taumata kernel e whakarato ana i te atanga kawa-motuhake noa e whakarato ana i nga mahi taketake mo te tango raraunga mai i nga paatete, te mahi raraunga, me te whakahaere rere.

Ko nga ture tātari ma ratou ano me nga kaikawe kawa motuhake ka whakahiatohia ki te bytecode mokowā-kaiwhakamahi, muri iho ka utaina tenei bytecode ki roto i te kernel ma te whakamahi i te atanga Netlink ka mahia i roto i te kernel i roto i te miihini mariko motuhake e rite ana ki te BPF (Berkeley Packet Filters). Ko tenei huarahi ka taea te whakaiti i te rahi o te waehere tātari e rere ana i te taumata kernel me te neke i nga mahi katoa o nga ture parsing me te arorau o te mahi me nga kawa ki te waahi kaiwhakamahi.

Nga mahi hou:

  • Kua taapirihia he aratau arotautanga ture, ka taea te whakamahi i te "-o" ("--optimize") hou, ka taea te whakakotahi me te "--check" hei tirotiro me te arotau i nga huringa ki te konae huinga ture me te kore e utaina. . Ma te arotautanga ka taea e koe te whakakotahi i nga ture rite, hei tauira, nga ture: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 whakaae meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 accept ip saddr 1.1.1.1 .2.2.2.2 whakaae ip saddr 2.2.2.2 ip daddr 3.3.3.3 maturuturu

    ka honoa ki te meta iifname. ip saddr. ip dadr { eth1 . 1.1.1.1. 2.2.2.3, eth1 . 1.1.1.2. 2.2.2.5 } whakaae ip saddr . ip daddr vmap {1.1.1.1. 2.2.2.2 : whakaae, 2.2.2.2 . 3.3.3.3 : taka }

    Tauira whakamahinga: # nft -c -o -f ruleset.whakamātautau Te hanumi: ruleset.nft:16:3-37: ip daddr 192.168.0.1 te porotiti whakaae tureset.nft:17:3-37: ip daddr 192.168.0.2 te whakaae ruleset.nft:18:3-37: ip daddr 192.168.0.3 counter accept into: ip daddr { 192.168.0.1, 192.168.0.2, 192.168.0.3 } counter pack 0 bytes 0 accept

  • Ko nga rarangi huinga ka whakatinana i te kaha ki te tautuhi i nga whiringa ip me te tcp, tae atu ki nga waahanga sctp: huinga s5 {typeof ip option ra value elements = {1, 1024} } set s7 {typeof sctp chunk init num-inbound-streams elements = { 1, 4 } } mekameka c5 { ip option ra value @s5 accept } chain c7 { sctp chunk init num-inbound-streams @s7 accept }
  • He tautoko taapiri mo nga whiringa TCP tuwhera tere, md5sig me te mptcp.
  • He tautoko taapiri mo te whakamahi i te momoroto mp-tcp i roto i nga mahere: tcp option mptcp subtype 1
  • Kua pai ake te waehere tātari taha-kero.
  • Ko Flowtable inaianei he tautoko katoa mo te whakatakotoranga JSON.
  • Kua whakaratohia te kaha ki te whakamahi i te mahi "whakapae" i roto i nga mahi whakahoahoa anga Ethernet. ether saddr aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 whakakāhore

Source: opennet.ru

Tāpiri i te kōrero