ProHoster > blog > aħbarijiet fuq l-internet > nftables packet filter 1.0.2 rilaxx

nftables packet filter 1.0.2 rilaxx

nftables 1.0.2, qafas ta' filtrazzjoni tal-pakketti li jgħaqqad l-interfaċċji tal-filtrazzjoni tal-pakketti għal IPv4, IPv6, ARP, u pontijiet tan-netwerk, ġie rilaxxat (immirat bħala sostitut għal iptables, ip6table, arptables, u ebtables). Il-bidliet meħtieġa għal nftables 1.0.2 ġew inkorporati fil-kernel. Linux 5.17-rc.

Il-pakkett nftables fih il-komponenti tal-filtru tal-pakketti li joperaw fl-ispazju tal-utent, filwaqt li x-xogħol fil-livell tal-kernel huwa pprovdut mis-sottosistema nf_tables, li hija parti mill-kernel. Linux Mill-ħarġa 3.13 'l hawn, fil-livell tal-kernel hija pprovduta biss interface ġenerika indipendenti mill-protokoll, li tipprovdi funzjonalità bażika għall-estrazzjoni tad-dejta mill-pakketti, it-twettiq ta' operazzjonijiet tad-dejta, u l-kontroll tal-fluss.

Ir-regoli tal-filtrazzjoni nfushom u l-handlers speċifiċi għall-protokoll huma kkumpilati f'bytecode fl-ispazju tal-utent, u wara dan il-bytecode jiġi mgħobbi fil-kernel bl-użu tal-interface Netlink u eżegwit fil-kernel b'mod speċjali. magna virtwali, tfakkar fil-BPF (Berkeley Packet Filters). Dan l-approċċ jippermetti tnaqqis sinifikanti fid-daqs tal-kodiċi tal-filtrazzjoni li jaħdem fil-livell tal-kernel u jċaqlaq l-analiżi tar-regoli u l-loġika tal-protokoll kollha fl-ispazju tal-utent.

Innovazzjonijiet ewlenin:

  • Ġie miżjud mod ta' ottimizzazzjoni tar-regoli, attivat bl-użu ta' l-għażla l-ġdida "-o" ("--optimize"), li tista' tiġi kkombinata ma' l-għażla "--check" biex tiċċekkja u tottimizza l-bidliet fil-fajl tar-regoli mingħajr ma fil-fatt tagħbijah . L-ottimizzazzjoni tippermettilek tgħaqqad regoli simili, pereżempju, ir-regoli: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 jaċċetta meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 jaċċetta ip saddr 1.1.1.1 ip daddr 2.2.2.2. .2.2.2.2 jaċċetta ip saddr 3.3.3.3 ip daddr XNUMX drop

    se jiġu kkombinati f'meta iifname . ip saddr. ip daddr { eth1 . 1.1.1.1. 2.2.2.3, eth1 . 1.1.1.2. 2.2.2.5 } jaċċetta ip saddr . ip daddr vmap { 1.1.1.1 . 2.2.2.2 : aċċetta, 2.2.2.2 . 3.3.3.3 : qatra }

    Eżempju ta' użu: # nft -c -o -f ruleset.test Għaqda: ruleset.nft:16:3-37: ip daddr 192.168.0.1 counter accept ruleset.nft:17:3-37: ip daddr 192.168.0.2 counter accept ruleset.nft:18:3-37: ip daddr 192.168.0.3 counter accept into: ip daddr { 192.168.0.1, 192.168.0.2, 192.168.0.3 } counter packets 0 bytes 0 accept

  • Il-listi tas-sett jimplimentaw l-abbiltà li jispeċifikaw l-għażliet ip u tcp, kif ukoll biċċiet sctp: set s5 { typeof ip option ra value elements = { 1, 1024 } } set s7 { typeof sctp chunk init num-inbound-streams elements = { 1, 4 } } chain c5 { ip option ra value @s5 accept } chain c7 { sctp chunk init num-inbound-streams @s7 accept }
  • Appoġġ miżjud għall-għażliet TCP fastopen, md5sig u mptcp.
  • Appoġġ miżjud għall-użu tas-sottotip mp-tcp fil-mappings: għażla tcp subtip mptcp 1
  • Kodiċi tal-filtrazzjoni mtejba fuq in-naħa tal-qalba.
  • Flowtable issa għandu appoġġ sħiħ għall-format JSON.
  • Ġiet ipprovduta l-abbiltà li tintuża l-azzjoni ta '"rifjut" f'operazzjonijiet ta' tqabbil tal-qafas Ethernet. ether saddr aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 jiċħad

Sors: opennet.ru

Ixtri hosting affidabbli għal siti bi protezzjoni DDoS, servers VPS VDS 🔥 Ixtri hosting ta' websajts affidabbli bi protezzjoni DDoS, servers VPS VDS | ProHoster