ProHoster > Blog > berita internet > keluaran penapis paket nftables 1.0.1

keluaran penapis paket nftables 1.0.1

nftables 1.0.1, rangka kerja penapisan paket yang menyatukan antara muka penapisan paket untuk IPv4, IPv6, ARP dan jambatan rangkaian, telah dikeluarkan (disasarkan sebagai pengganti untuk iptables, ip6table, arptables dan ebtables). Perubahan yang diperlukan untuk nftables 1.0.1 telah digabungkan ke dalam kernel. Linux 5.16-rc1.

Pakej nftables mengandungi komponen penapis paket yang beroperasi dalam ruang pengguna, manakala kerja peringkat kernel disediakan oleh subsistem nf_tables, yang merupakan sebahagian daripada kernel. Linux Sejak keluaran 3.13, hanya antara muka generik yang bebas protokol disediakan pada peringkat kernel, yang menyediakan fungsi asas untuk mengekstrak data daripada paket, melaksanakan operasi data dan kawalan aliran.

Peraturan penapisan itu sendiri dan pengendali khusus protokol dikompilasi ke dalam bytecode dalam ruang pengguna, selepas itu bytecode ini dimuatkan ke dalam kernel menggunakan antara muka Netlink dan dilaksanakan dalam kernel dalam cara khas mesin maya, mengingatkan BPF (Penapis Paket Berkeley). Pendekatan ini membolehkan pengurangan ketara dalam saiz kod penapisan yang berjalan pada peringkat kernel dan memindahkan semua penghuraian peraturan dan logik protokol ke dalam ruang pengguna.

Inovasi utama:

  • Mengurangkan penggunaan memori apabila memuatkan set besar dan senarai peta.
  • Muat semula set dan senarai peta telah dipercepatkan.
  • Output jadual dan rantai terpilih dalam set peraturan besar telah dipercepatkan. Sebagai contoh, masa pelaksanaan perintah "set peraturan senarai nft" untuk mengeluarkan set peraturan yang mengandungi 100 baris ialah 3.049 saat, manakala apabila mengeluarkan hanya jadual nat dan penapis ("nat jadual senarai nft" dan "penapis jadual senarai nft"), ia dikurangkan kepada 1.969 saat dan 0.697 saat, masing-masing.
  • Percepatkan pelaksanaan pertanyaan dengan pilihan "--terse" apabila memproses peraturan dengan set- dan senarai peta yang besar.
  • Keupayaan untuk menapis trafik daripada rantaian jalan keluar kini tersedia. Trafik ini diproses pada tahap yang sama seperti pengendali jalan keluar dalam rantaian netdev (hook egress), iaitu, apabila pemandu menerima paket daripada susunan rangkaian kernel. table netdev filter { chain egress { type filter hook egress devices = { eth0, eth1 } priority 0; set keutamaan meta peta ip saddr { 192.168.10.2 : abcd:2, 192.168.10.3 : abcd:3 } } }
  • Membenarkan pemadanan dan pengubahsuaian bait dalam pengepala paket dan kandungan pada offset yang ditentukan. # nft tambah peraturan xy @ih,32,32 0x14000000 pembilang # nft tambah peraturan xy @ih,32,32 set 0x14000000 pembilang

Sumber: opennet.ru

Beli pengehosan yang boleh dipercayai untuk tapak dengan perlindungan DDoS, pelayan VPS VDS 🔥 Beli pengehosan laman web yang boleh dipercayai dengan perlindungan DDoS, pelayan VPS VDS | ProHoster