packet filter nftables 1.0.1 ကိုထုတ်ဝေပြီး IPv4၊ IPv6၊ ARP နှင့် network bridges (iptables၊ ip6table၊ arptables နှင့် ebtables) များအတွက် packet filtering interfaces များကို ပေါင်းစည်းပြီး ထုတ်ဝေလိုက်ပါပြီ။ အလုပ်လုပ်ရန်အတွက် nftables 1.0.1 ထွက်ရှိမှုအတွက် လိုအပ်သောပြောင်းလဲမှုများကို Linux kernel 5.16-rc1 တွင် ထည့်သွင်းထားပါသည်။
nftables ပက်ကေ့ဂျ်တွင် အသုံးပြုသူနေရာလွတ်တွင် လည်ပတ်နေသော ပက်ကက်စစ်ထုတ်သည့် အစိတ်အပိုင်းများ ပါ၀င်ပြီး kernel-level အလုပ်ကို 3.13 ကတည်းက Linux kernel ၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည့် nf_tables ခွဲစနစ်က ပံ့ပိုးပေးထားသည်။ kernel အဆင့်သည် ပက်ကတ်များမှ ဒေတာထုတ်ယူရန်၊ ဒေတာလည်ပတ်မှုနှင့် စီးဆင်းမှုထိန်းချုပ်မှုအတွက် အခြေခံလုပ်ဆောင်ချက်များကို ပံ့ပိုးပေးသည့် ယေဘူယျပရိုတိုကော-အမှီအခိုကင်းသော အင်တာဖေ့စ်ကို ထောက်ပံ့ပေးသည်။
စစ်ထုတ်ခြင်းဆိုင်ရာ စည်းမျဉ်းများနှင့် ပရိုတိုကော-သီးသန့် ကိုင်တွယ်သူများကို အသုံးပြုသူနေရာရှိ ဘိုက်ကုဒ်အဖြစ် စုစည်းထားပြီး၊ ထို့နောက်တွင် ဤ bytecode ကို Netlink မျက်နှာပြင်ကို အသုံးပြု၍ kernel ထဲသို့ တင်ကာ BPF (Berkeley Packet Filters) ကို အမှတ်ရသည့် အထူး virtual machine တွင် kernel တွင် လုပ်ဆောင်သည်။ ဤချဉ်းကပ်မှုသည် kernel အဆင့်တွင် လုပ်ဆောင်နေသော စစ်ထုတ်ကုဒ်၏ အရွယ်အစားကို သိသာထင်ရှားစွာ လျှော့ချနိုင်ပြီး ပရိုတိုကောများနှင့် လုပ်ဆောင်ရန်အတွက် အသုံးပြုသူနေရာသို့ ခွဲခြမ်းစိတ်ဖြာခြင်းဆိုင်ရာ စည်းမျဉ်းများနှင့် ယုတ္တိဗေဒဆိုင်ရာ လုပ်ငန်းဆောင်တာအားလုံးကို ရွှေ့နိုင်စေပါသည်။
အဓိက တီထွင်ဆန်းသစ်မှုများ-
- ကြီးမားသောအစုံနှင့် မြေပုံစာရင်းများကို တင်သည့်အခါ မမ်မိုရီသုံးစွဲမှုကို လျှော့ချပါ။
- အစုံလိုက်နှင့် မြေပုံစာရင်းများ ပြန်လည်စတင်ခြင်းကို အရှိန်မြှင့်လိုက်ပါပြီ။
- ကြီးမားသော စည်းကမ်းချက်များနှင့် ရွေးချယ်ထားသော ဇယားများနှင့် ကွင်းဆက်များ၏ အထွက်ကို အရှိန်မြှင့်ထားသည်။ ဥပမာအားဖြင့်၊ အတန်းပေါင်း 100 ပါသော စည်းမျဥ်းစည်းကမ်းအစုံကိုပြသရန် "nft list ruleset" command ၏ လုပ်ဆောင်ချိန်သည် 3.049 စက္ကန့်ဖြစ်ပြီး nat နှင့် filter tables များကိုသာ ထုတ်သည့်အခါ ("nft list table nat"၊ "nft list table filter ”) ကို 1.969 နှင့် 0.697 စက္ကန့်သို့ လျှော့ချထားသည်။
- ကြီးမားသော set- နှင့် map-lists များဖြင့် စည်းမျဉ်းများကို စီမံဆောင်ရွက်သည့်အခါ “--terse” ရွေးချယ်မှုဖြင့် စုံစမ်းမေးမြန်းမှုများကို အရှိန်မြှင့်လိုက်ပါသည်။
- netdev ကွင်းဆက် (egress hook) ရှိ egress handler နှင့် တူညီသောအဆင့်တွင် လုပ်ဆောင်သည့် "egress" ကွင်းဆက်မှ traffic ကို စစ်ထုတ်ရန် ဖြစ်နိုင်သည်။ driver သည် kernel network stack မှ packet တစ်ခုကို လက်ခံရရှိသောအခါ အဆင့်တွင်။ table netdev filter { chain egress { type filter hook egress devices = { eth0, eth1 } ဦးစားပေး 0; meta ဦးစားပေးသတ်မှတ် ip saddr မြေပုံ { 192.168.10.2 : abcd:2၊ 192.168.10.3 : abcd:3 } } }
- ပေးထားသည့် အော့ဖ်ဆက်ဖြင့် ပက်ကတ်တစ်ခု၏ ခေါင်းစီးရှိ ဘိုက်များနှင့် အကြောင်းအရာများကို ကိုက်ညီမှုနှင့် ပြုပြင်မွမ်းမံခြင်းတို့ကို ခွင့်ပြုသည်။ # nft add rule x y @ih,32,32 0x14000000 ကောင်တာ # nft add rule x y @ih,32,32 set 0x14000000 ကောင်တာ
source: opennet.ru