nftables पॅकेट फिल्टर 1.0.0 रिलीज

पॅकेट फिल्टर nftables 1.0.0 चे प्रकाशन प्रकाशित झाले आहे, IPv4, IPv6, ARP आणि नेटवर्क ब्रिज (iptables, ip6table, arptables आणि ebtables बदलण्याच्या उद्देशाने) साठी पॅकेट फिल्टरिंग इंटरफेस एकत्र करणे. nftables 1.0.0 रिलीझ कार्य करण्यासाठी आवश्यक असलेले बदल Linux 5.13 कर्नलमध्ये समाविष्ट केले आहेत. आवृत्ती क्रमांकातील महत्त्वपूर्ण बदल कोणत्याही मूलभूत बदलांशी संबंधित नाही, परंतु केवळ दशांश चिन्हात क्रमांकन सतत चालू ठेवण्याचा परिणाम आहे (मागील प्रकाशन 0.9.9 होते).

nftables पॅकेजमध्ये पॅकेट फिल्टर घटक समाविष्ट आहेत जे वापरकर्ता स्पेसमध्ये चालतात, तर कर्नल-स्तरीय कार्य nf_tables उपप्रणालीद्वारे पुरवले जाते, जे रिलीज 3.13 पासून Linux कर्नलचा भाग आहे. कर्नल स्तर फक्त एक सामान्य प्रोटोकॉल-स्वतंत्र इंटरफेस प्रदान करतो जो पॅकेट्समधून डेटा काढण्यासाठी, डेटा ऑपरेशन्स करण्यासाठी आणि प्रवाह नियंत्रणासाठी मूलभूत कार्ये प्रदान करतो.

फिल्टरिंगचे नियम स्वतः आणि प्रोटोकॉल-विशिष्ट हँडलर्स वापरकर्ता-स्पेस बायटेकोडमध्ये संकलित केले जातात, त्यानंतर हा बायकोड नेटलिंक इंटरफेस वापरून कर्नलमध्ये लोड केला जातो आणि BPF (बर्कले पॅकेट फिल्टर) सदृश विशेष आभासी मशीनमध्ये कर्नलमध्ये कार्यान्वित केला जातो. हा दृष्टीकोन कर्नल स्तरावर चालत असलेल्या फिल्टरिंग कोडचा आकार लक्षणीयरीत्या कमी करणे आणि नियमांचे पार्सिंग करण्याचे सर्व कार्य आणि प्रोटोकॉलसह कार्य करण्याचे तर्क वापरकर्त्याच्या जागेत हलविणे शक्य करते.

मुख्य नवकल्पना:

• सेट लिस्टमध्ये “*” मास्क घटकासाठी समर्थन जोडले गेले आहे, जे सेटमध्ये परिभाषित केलेल्या इतर घटकांच्या अंतर्गत येत नसलेल्या कोणत्याही पॅकेजसाठी ट्रिगर केले जाते. टेबल x { नकाशा ब्लॉकलिस्ट { प्रकार ipv4_addr : निर्णय ध्वज मध्यांतर घटक = { 192.168.0.0/16 : स्वीकार, 10.0.0.0/8 : स्वीकार, * : ड्रॉप } } चेन y { प्रकार फिल्टर हुक प्रीरूटिंग प्राधान्य 0; धोरण स्वीकारणे; ip saddr vmap @blocklist } }
• कमांड लाइनवरून व्हेरिएबल्स परिभाषित करणे शक्य आहे “--define” पर्याय वापरून. # cat test.nft टेबल netdev x { चेन y { प्रकार फिल्टर हुक इनग्रेस डिव्हाइसेस = $dev प्राधान्य 0; पॉलिसी ड्रॉप; } } # nft — define dev="{ eth0, eth1 }" -f test.nft
• नकाशा सूचींमध्ये, स्थिर (स्टेटफुल) अभिव्यक्ती वापरण्यास परवानगी आहे: टेबल इनेट फिल्टर { नकाशा पोर्टमॅप { प्रकार inet_service : निर्णय काउंटर घटक = { 22 काउंटर पॅकेट 0 बाइट्स 0 : जंप ssh_इनपुट, * काउंटर पॅकेट 0 बाइट्स 0 : ड्रॉप } } चेन ssh_input { } चेन wan_input { tcp dport vmap @portmap } चेन प्रीराउटिंग { प्रकार फिल्टर हुक प्रीराउटिंग प्रायॉरिटी रॉ; धोरण स्वीकारणे; iif vmap { "lo" : जंप वॅन_इनपुट } }
• दिलेल्या पॅकेट कुटुंबासाठी हँडलर्सची सूची प्रदर्शित करण्यासाठी "लिस्ट हुक" कमांड जोडली: # nft सूची हुक ip डिव्हाइस eth0 फॅमिली ip { हुक प्रवेश { +0000000010 चेन नेटदेव xy [nf_tables] +0000000300 चेन inet mw [nf_tables] { -0000000100 साखळी ip ab [nf_tables] +0000000300 चेन inet mz [nf_tables] } हुक फॉरवर्ड { -0000000225 selinux_ipv4_forward 0000000000 चेन ip ac [nf_tables }0000000225_4 outputs 0000000225_आउटपुट } हुक पोस्टरूटिंग { +4 XNUMX selinux_ipvXNUMX_postroute } }
• रांगेतील ब्लॉक्स वापरकर्त्याच्या जागेत रांगेत पॅकेट वितरीत करण्यासाठी जॅश, सिमॅश आणि नमजेन अभिव्यक्ती एकत्र करण्याची परवानगी देतात. … रांग ते सिमॅश मोड 65536 … रांग फ्लॅग्ज बायपास टू नमजेन इंक मोड 65536 … रांग ते झाश ओइएफ . meta mark mod 32 "queue" ला मॅप लिस्टसह देखील एकत्र केले जाऊ शकते जेणेकरून वापरकर्ता स्पेसमध्ये अनियंत्रित कीच्या आधारे रांग निवडा. ... oifname नकाशाला बायपास रांग ध्वज { "eth0" : 0, "pp0" : 2, "eth1" : 2 }
• अनेक नकाशांमध्ये सेट सूची समाविष्ट असलेल्या चलांचा विस्तार करणे शक्य आहे. इंटरफेस परिभाषित करा = { eth0, eth1 } टेबल ip x { चेन y { प्रकार फिल्टर हुक इनपुट प्राधान्य 0; धोरण स्वीकारणे; iifname vmap { lo : स्वीकार करा, $ इंटरफेस : ड्रॉप } } } # nft -f x.nft # nft सूची नियम सारणी ip x { चेन y { प्रकार फिल्टर हुक इनपुट प्राधान्य 0; धोरण स्वीकारणे; iifname vmap { "lo" : स्वीकारा, "eth0" : ड्रॉप, "eth1" : ड्रॉप } }
• अंतराने vmaps (निर्णयाचा नकाशा) एकत्र करण्यास अनुमती आहे: # nft नियम xy tcp dport जोडा. ip saddr vmap { 1025-65535 . 192.168.10.2 : स्वीकारा }
• NAT मॅपिंगसाठी सरलीकृत वाक्यरचना. पत्ता श्रेणी निर्दिष्ट करण्याची अनुमती आहे: ... snat to ip saddr नकाशा { 10.141.11.4 : 192.168.2.2-192.168.2.4 } किंवा स्पष्ट IP पत्ते आणि पोर्ट: ... dnat ते ip saddr नकाशा { 10.141.11.4. . 192.168.2.3 } किंवा IP श्रेणी आणि पोर्ट्सचे संयोजन: ... dnat ते ip saddr . tcp dport नकाशा { 80 . 192.168.1.2: 80-10.141.10.2. ८८८८-८९९९ }

स्त्रोत: opennet.ru