🥇 nftables 1.0.1 പാക്കറ്റ് ഫിൽട്ടർ റിലീസ്

Опубликован выпуск пакетного фильтра nftables 1.0.1, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Необходимые для работы выпуска nftables 1.0.1 изменения включены в состав ядра Linux 5.16-rc1.

nftables പാക്കേജിൽ യൂസർ സ്പേസിൽ പ്രവർത്തിക്കുന്ന പാക്കറ്റ് ഫിൽട്ടർ ഘടകങ്ങൾ ഉൾപ്പെടുന്നു, അതേസമയം കേർണൽ-ലെവൽ വർക്ക് നൽകുന്നത് 3.13 റിലീസ് മുതൽ Linux കേർണലിന്റെ ഭാഗമായ nf_tables സബ്സിസ്റ്റമാണ്. പാക്കറ്റുകളിൽ നിന്ന് ഡാറ്റ എക്‌സ്‌ട്രാക്റ്റുചെയ്യുന്നതിനും ഡാറ്റ പ്രവർത്തനങ്ങൾ നടത്തുന്നതിനും ഫ്ലോ കൺട്രോൾ ചെയ്യുന്നതിനുമുള്ള അടിസ്ഥാന പ്രവർത്തനങ്ങൾ നൽകുന്ന ഒരു ജനറിക് പ്രോട്ടോക്കോൾ-സ്വതന്ത്ര ഇന്റർഫേസ് മാത്രമാണ് കേർണൽ ലെവൽ നൽകുന്നത്.

ഫിൽട്ടറിംഗ് നിയമങ്ങളും പ്രോട്ടോക്കോൾ-നിർദ്ദിഷ്‌ട ഹാൻഡ്‌ലറുകളും യൂസർ-സ്‌പേസ് ബൈറ്റ്‌കോഡിലേക്ക് കംപൈൽ ചെയ്യുന്നു, അതിനുശേഷം ഈ ബൈറ്റ്‌കോഡ് നെറ്റ്‌ലിങ്ക് ഇന്റർഫേസ് ഉപയോഗിച്ച് കേർണലിലേക്ക് ലോഡ് ചെയ്യുകയും ബിപിഎഫ് (ബെർക്ക്‌ലി പാക്കറ്റ് ഫിൽട്ടറുകൾ) പോലെയുള്ള ഒരു പ്രത്യേക വെർച്വൽ മെഷീനിൽ കേർണലിൽ എക്‌സിക്യൂട്ട് ചെയ്യുകയും ചെയ്യുന്നു. ഈ സമീപനം കേർണൽ തലത്തിൽ പ്രവർത്തിക്കുന്ന ഫിൽട്ടറിംഗ് കോഡിന്റെ വലുപ്പം ഗണ്യമായി കുറയ്ക്കുകയും പാഴ്സിംഗ് നിയമങ്ങളുടെ എല്ലാ പ്രവർത്തനങ്ങളും പ്രോട്ടോക്കോളുകൾക്കൊപ്പം പ്രവർത്തിക്കുന്ന ലോജിക്കും യൂസർ സ്പേസിലേക്ക് നീക്കുകയും ചെയ്യുന്നു.

പ്രധാന കണ്ടുപിടുത്തങ്ങൾ:

Сокращено потребление памяти при загрузке больших set- и map-списков.
Ускорена перезагрузка set- и map-списков.
Ускорен вывод избранных таблиц и цепочек в больших наборах правил. Например, время выполнения команды «nft list ruleset» для вывода набора правил, насчитывающего 100 тысяч строк, составляет 3.049 секунды, а при выводе только таблиц nat и filter («nft list table nat», «nft list table filter») сокращается до 1.969 и 0.697 секунд.
Ускорено выполнение запросов с опцией «—terse» при обработке правил с большими set- и map-списками.
Предоставлена возможность фильтрации трафика из цепочки «egress», обрабатываемой на том же уровне, что egress-обработчик в цепочке netdev (hook egress), т.е. на стадии когда драйвер получает пакет от сетевого стека ядра. table netdev filter { chain egress { type filter hook egress devices = { eth0, eth1 } priority 0; meta priority set ip saddr map { 192.168.10.2 : abcd:2, 192.168.10.3 : abcd:3 } } }
Разрешено сопоставление и изменение байтов в заголовке и содержимом пакета по заданному смещению. # nft add rule x y @ih,32,32 0x14000000 counter # nft add rule x y @ih,32,32 set 0x14000000 counter

അവലംബം: opennet.ru

nftables പാക്കറ്റ് ഫിൽട്ടർ 1.0.1 റിലീസ്

ഒരു അഭിപ്രായം ചേർക്കുക

nftables പാക്കറ്റ് ഫിൽട്ടർ 1.0.1 റിലീസ്

ഒരു അഭിപ്രായം ചേർക്കുക മറുപടി റദ്ദാക്കാൻ

ഒരു അഭിപ്രായം ചേർക്കുക