🥇 nftables 0.9.4 पॅकेट फिल्टर रिलीज

प्रकाशित पॅकेट फिल्टर रिलीझ nftables 0.9.4, IPv6, IPv4, ARP आणि नेटवर्क ब्रिजसाठी पॅकेट फिल्टरिंग इंटरफेस एकत्र करून iptables, ip6table, arptables आणि ebtables साठी बदली म्हणून विकसित होत आहे. nftables पॅकेजमध्ये पॅकेट फिल्टर घटक समाविष्ट आहेत जे वापरकर्ता स्पेसमध्ये चालतात, तर कर्नल-स्तरीय कार्य nf_tables उपप्रणालीद्वारे पुरवले जाते, जे रिलीज 3.13 पासून Linux कर्नलचा भाग आहे. काम करण्यासाठी nftables 0.9.4 प्रकाशनासाठी आवश्यक बदल भविष्यातील कर्नल शाखेत समाविष्ट केले आहेत. लिनक्स 5.6.

कर्नल स्तर फक्त एक सामान्य प्रोटोकॉल-स्वतंत्र इंटरफेस प्रदान करतो जो पॅकेट्समधून डेटा काढण्यासाठी, डेटा ऑपरेशन्स करण्यासाठी आणि प्रवाह नियंत्रणासाठी मूलभूत कार्ये प्रदान करतो. फिल्टरिंग नियम आणि प्रोटोकॉल-विशिष्ट हँडलर्स युजर स्पेसमधील बायटेकोडमध्ये संकलित केले जातात, त्यानंतर हा बायकोड नेटलिंक इंटरफेस वापरून कर्नलमध्ये लोड केला जातो आणि BPF (बर्कले पॅकेट फिल्टर) ची आठवण करून देणार्‍या विशेष आभासी मशीनमध्ये कर्नलमध्ये कार्यान्वित केला जातो. हा दृष्टिकोन तुम्हाला कर्नल स्तरावर चालत असलेल्या फिल्टरिंग कोडचा आकार लक्षणीयरीत्या कमी करण्यास आणि प्रोटोकॉलसह कार्य करण्यासाठी वापरकर्त्याच्या जागेत नियम आणि तर्कशास्त्र पार्सिंगची सर्व कार्ये हलविण्याची परवानगी देतो.

मुख्य नवकल्पना:

कनेक्शनमधील श्रेणींसाठी समर्थन (संकलन, पत्त्यांचे विशिष्ट बंडल आणि पोर्ट जे तुलना सुलभ करतात). उदाहरणार्थ, "व्हाइटलिस्ट" सेटसाठी ज्याचे घटक संलग्नक आहेत, "इंटरव्हल" ध्वज निर्दिष्ट केल्याने असे सूचित होईल की संच संलग्नकातील श्रेणी समाविष्ट करू शकतो ("ipv4_addr . ipv4_addr . inet_service" संलग्नकासाठी पूर्वी अचूक यादी करणे शक्य होते. "192.168.10.35. 192.68.11.123" फॉर्मचे जुळते आणि आता तुम्ही "80-192.168.10.35-192.168.10.40" पत्त्यांचे गट निर्दिष्ट करू शकता:
टेबल ip foo {
श्वेतसूची सेट करा {
ipv4_addr टाइप करा. ipv4_addr. inet_service
ध्वज मध्यांतर
घटक = { 192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125. ८०}
}

साखळी बार {
फिल्टर हुक प्रीरूटिंग प्राधान्य फिल्टर टाइप करा; पॉलिसी ड्रॉप;
ip sadr. ip daddr. tcp dport @whitelist स्वीकारा
}
}
संच आणि नकाशा सूचीमध्ये, "typeof" निर्देश वापरणे शक्य आहे, जे जुळताना घटकाचे स्वरूप निर्धारित करते.
उदाहरणार्थ:

टेबल ip foo {
श्वेतसूची सेट करा {
ip sadr चा प्रकार
घटक = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
}

साखळी बार {
फिल्टर हुक प्रीरूटिंग प्राधान्य फिल्टर टाइप करा; पॉलिसी ड्रॉप;
ip daddr @whitelist स्वीकारा
}
}

टेबल ip foo {
नकाशा addr2mark {
ip sadr चा प्रकार: मेटा मार्क
घटक = { 192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
}
}
NAT बाइंडिंगमध्ये जॉइन्स वापरण्याची क्षमता जोडली आहे, जी तुम्हाला नकाशा सूची किंवा नामांकित संचांवर आधारित NAT परिवर्तन परिभाषित करताना पत्ता आणि पोर्ट निर्दिष्ट करण्यास अनुमती देते:
nft जोडा नियम ip nat pre dnat ip addr. पोर्ट ते ip saddr नकाशा { 1.1.1.1 : 2.2.2.2 . तीस }

nft नकाशा ip nat गंतव्ये जोडा { ipv4_addr टाइप करा. inet_service: ipv4_addr. inet_service \\; }
nft जोडा नियम ip nat pre dnat ip addr. पोर्ट ते ip sadr. tcp dport नकाशा @destinations
नेटवर्क कार्डद्वारे काही फिल्टरिंग ऑपरेशन्ससह हार्डवेअर प्रवेगासाठी समर्थन. एथटूल युटिलिटी ("ethtool -K eth0 hw-tc-offload चालू") द्वारे प्रवेग सक्षम केले जाते, त्यानंतर ते "ऑफलोड" ध्वज वापरून मुख्य साखळीसाठी nftables मध्ये सक्रिय केले जाते. लिनक्स कर्नल 5.6 वापरताना, हार्डवेअर प्रवेग हेडर फील्ड मॅचिंग आणि इनकमिंग इंटरफेस तपासणीसाठी समर्थित आहे, प्राप्त करणे, टाकून देणे, डुप्लिकेट करणे (dup), आणि फॉरवर्डिंग (fwd) पॅकेट्ससह. खालील उदाहरणात, 192.168.30.20 पत्त्यावरून येणारे पॅकेट्स टाकण्याचे ऑपरेशन नेटवर्क कार्ड स्तरावर पॅकेट्स कर्नलकडे न देता केले जातात:
# cat file.nft
टेबल नेटदेव x {
साखळी y {
फिल्टर हुक इनग्रेस डिव्हाइस eth0 प्राधान्य 10 टाइप करा; फ्लॅग ऑफलोड;
ip saddr 192.168.30.20 ड्रॉप
}
}
# nft -f file.nft
नियमांमधील त्रुटीच्या स्थानाबद्दल सुधारित माहिती.
# nft हटवा नियम ip yz हँडल 7
त्रुटी: नियमावर प्रक्रिया करणे शक्य नाही: अशी कोणतीही फाइल किंवा निर्देशिका नाही
नियम ip yz हँडल 7 हटवा
^

# nft हटवा नियम ip xx हँडल 7
त्रुटी: नियमावर प्रक्रिया करणे शक्य नाही: अशी कोणतीही फाइल किंवा निर्देशिका नाही
नियम ip xx हँडल 7 हटवा
^

# nft टेबल twst हटवा
त्रुटी: अशी कोणतीही फाइल किंवा निर्देशिका नाही; तुम्हाला फॅमिली आयपी मधील टेबल 'चाचणी' म्हणायचे आहे का?
टेबल twst हटवा
^^^^

पहिले उदाहरण दाखवते की टेबल “y” सिस्टममध्ये नाही, दुसरे म्हणजे “7” हँडलर गहाळ आहे आणि तिसरे म्हणजे टेबलचे नाव टाइप करताना टायपो प्रॉम्प्ट दिसून येतो.
"meta sdif" किंवा "meta sdifname" निर्दिष्ट करून स्लेव्ह इंटरफेस तपासण्यासाठी समर्थन जोडले:
... meta sdifname vrf1 ...
उजवीकडे किंवा डावीकडे शिफ्ट ऑपरेशन्ससाठी समर्थन जोडले. उदाहरणार्थ, विद्यमान पॅकेट लेबल 1 बिटने शिफ्ट करण्यासाठी आणि किरकोळ बिट 1 वर सेट करा:
… मेटा मार्क सेट मेटा मार्क lshift 1 किंवा 0x1 …
विस्तारित आवृत्ती माहिती प्रदर्शित करण्यासाठी "-V" पर्याय लागू केला.
# nft -V
nftables v0.9.4 (पाच वर जीव)
cli:readline
json: होय
minigmp: नाही
libxtables: होय
कमांड लाइन पर्याय आता कमांड्सच्या आधी निर्दिष्ट करणे आवश्यक आहे. उदाहरणार्थ, तुम्हाला "nft -a list ruleset" निर्दिष्ट करणे आवश्यक आहे आणि "nft list ruleset -a" चालवल्याने त्रुटी येईल.

स्त्रोत: opennet.ru

nftables पॅकेट फिल्टर 0.9.4 रिलीज

एक टिप्पणी जोडा Отменить ответ