🥇 nftables पॅकेट फिल्टर १.०.३ चे प्रकाशन

nftables 0.9.9 पॅकेट फिल्टर रिलीझ करण्यात आला आहे. तो IPv4, IPv6, ARP आणि नेटवर्क ब्रिजेससाठी पॅकेट फिल्टरिंग इंटरफेस एकत्रित करतो (iptables, ip6table, arptables आणि ebtables यांना पर्याय म्हणून). यासोबतच, nf_tables सबसिस्टमशी संवाद साधण्यासाठी लो-लेव्हल API प्रदान करणारी libnftnl 1.2.0 लायब्ररी देखील रिलीझ करण्यात आली आहे. nftables 0.9.9 साठी आवश्यक असलेले बदल कर्नलमध्ये समाविष्ट करण्यात आले आहेत. Linux ५.१३-आरसी१.

nftables पॅकेजमध्ये युझर स्पेसमध्ये काम करणारे पॅकेट फिल्टर घटक असतात, तर कर्नल-स्तरीय काम nf_tables सबसिस्टमद्वारे पुरवले जाते, जे कर्नलचा एक भाग आहे. Linux रिलीझ 3.13 पासून, कर्नल स्तरावर फक्त एक जेनेरिक प्रोटोकॉल-स्वतंत्र इंटरफेस प्रदान केला जातो, जो पॅकेटमधून डेटा काढणे, डेटा ऑपरेशन्स करणे आणि फ्लो कंट्रोलसाठी मूलभूत कार्यक्षमता प्रदान करतो.

फिल्टरिंग नियम स्वतः आणि प्रोटोकॉल-विशिष्ट हँडलर वापरकर्त्याच्या जागेत बायकोडमध्ये संकलित केले जातात, त्यानंतर हा बायकोड नेटलिंक इंटरफेस वापरून कर्नलमध्ये लोड केला जातो आणि कर्नलमध्ये एका विशेष पद्धतीने कार्यान्वित केला जातो. व्हर्च्युअल मशीन, BPF (बर्कले पॅकेट फिल्टर्स) ची आठवण करून देणारे. हा दृष्टिकोन कर्नल स्तरावर चालणाऱ्या फिल्टरिंग कोडच्या आकारात लक्षणीय घट करण्यास अनुमती देतो आणि सर्व नियम पार्सिंग आणि प्रोटोकॉल लॉजिक वापरकर्त्याच्या जागेत हलवतो.

मुख्य नवकल्पना:

'ऑफलोड' फ्लॅग वापरून फ्लोटेबल प्रोसेसिंग नेटवर्क अॅडॉप्टर बाजूला हलवण्याची क्षमता लागू केली आहे. फ्लोटेबल ही पॅकेट फॉरवर्डिंग पाथ ऑप्टिमाइझ करण्यासाठी एक यंत्रणा आहे, ज्यामध्ये सर्व नियम प्रक्रिया साखळ्यांचा संपूर्ण ट्रॅव्हर्सल फक्त पहिल्या पॅकेटवर लागू केला जातो आणि फ्लोमधील इतर सर्व पॅकेट थेट फॉरवर्ड केले जातात. टेबल आयपी ग्लोबल { फ्लोटेबल एफ { हुक इनग्रेस प्रायोरिटी फिल्टर + १ डिव्हाइसेस = { lan3, lan0, वॅन } फ्लॅग ऑफलोड } चेन फॉरवर्ड { प्रकार फिल्टर हुक फॉरवर्ड प्रायोरिटी फिल्टर; पॉलिसी अ‍ॅक्सेप्ट; आयपी प्रोटोकॉल { टीसीपी, यूडीपी } फ्लो अ‍ॅड @f } चेन पोस्ट { प्रकार नॅट हुक पोस्टराउटिंग प्रायोरिटी फिल्टर; पॉलिसी अ‍ॅक्सेप्ट; ओआयएफनेम "वॅन" मास्करेड } }
टेबलवर मालक ध्वज जोडण्यासाठी जोडलेला आधार, जो प्रक्रियेद्वारे टेबलचा विशेष वापर सुनिश्चित करतो. जेव्हा प्रक्रिया समाप्त होते, तेव्हा संबंधित टेबल स्वयंचलितपणे हटवले जाते. प्रक्रिया माहिती नियम डंपमध्ये टिप्पणी म्हणून प्रदर्शित केली जाते: टेबल आयपी x { # प्रोग्नॅम एनएफटी फ्लॅग्ज मालक साखळी y { प्रकार फिल्टर हुक इनपुट प्राधान्य फिल्टर; पॉलिसी स्वीकार; काउंटर पॅकेट्स 1 बाइट्स 309 } }
IEEE 802.1ad (VLAN स्टॅकिंग किंवा QinQ) स्पेसिफिकेशनसाठी जोडलेले समर्थन, जे एकाच इथरनेट फ्रेममध्ये अनेक VLAN टॅग बदलण्याचे साधन परिभाषित करते. उदाहरणार्थ, बाह्य इथरनेट फ्रेम प्रकार 8021ad आणि vlan id=342 तपासण्यासाठी, तुम्ही construct वापरू शकता ... ether type 802.1ad vlan id 342 बाह्य इथरनेट फ्रेम प्रकार 8021ad/vlan id=1 तपासण्यासाठी, नेस्टेड 802.1q/vlan id=2, आणि IP पॅकेटला पुढे एन्कॅप्स्युलेट करण्यासाठी: ... ether type 8021ad vlan id 1 vlan type 8021q vlan id 2 vlan type ip counter
युनिफाइड cgroups v2 पदानुक्रम वापरून संसाधन व्यवस्थापनासाठी समर्थन जोडण्यात आले आहे. cgroups v2 आणि v1 मधील महत्त्वाचा फरक म्हणजे CPU संसाधन वाटप, मेमरी व्यवस्थापन आणि I/O साठी स्वतंत्र पदानुक्रमांऐवजी सर्व संसाधन प्रकारांसाठी सामान्य cgroups पदानुक्रमाचा वापर. उदाहरणार्थ, cgroupv2 च्या पहिल्या स्तरावर सॉकेटचा पूर्वज "system.slice" मास्कशी जुळतो की नाही हे तपासण्यासाठी, तुम्ही खालील रचना वापरू शकता: ... सॉकेट cgroupv2 स्तर 1 "system.slice"
SCTP पॅकेट्सचे घटक तपासण्याची क्षमता जोडली आहे (कार्यवाहीसाठी आवश्यक कार्यक्षमता कर्नलमध्ये दिसेल). Linux ५.१४). उदाहरणार्थ, एखाद्या पॅकेटमध्ये 'data' प्रकार आणि 'type' फील्ड असलेला चंक आहे की नाही हे तपासण्यासाठी: … sctp chunk data exists … sctp chunk data type 0
"-f" फ्लॅग वापरून नियम लोड करण्याचा वेग जवळजवळ दुप्पट झाला आहे. नियम सूची आउटपुट देखील वेगवान झाला आहे.
फ्लॅग्जमध्ये बिट्सची सेटिंग तपासण्यासाठी एक कॉम्पॅक्ट फॉर्म प्रदान केला आहे. उदाहरणार्थ, snat आणि dnat स्थिती बिट्स सेट केलेले नाहीत हे तपासण्यासाठी, तुम्ही हे निर्दिष्ट करू शकता: ... ct स्थिती ! snat,dnat syn,ack बिट मास्कमध्ये syn बिट सेट केलेला आहे हे तपासण्यासाठी: ... tcp flags syn / syn,ack syn,ack,fin,rst बिट मास्कमध्ये fin आणि rst बिट्स सेट केलेले नाहीत हे तपासण्यासाठी: ... tcp flags != fin,rst / syn,ack,fin,rst
सेट/मॅपसाठी टाइपऑफ डेफिनेशनमध्ये "व्हर्डिक्ट" कीवर्ड वापरण्याची परवानगी आहे: add map xm { typeof iifname.ip protocol.th dport: verdict ;}

स्त्रोत: opennet.ru

nftables पॅकेट फिल्टर 0.9.9 रिलीज

ProHoster