🥇Nftables प्याकेट फिल्टर 0.9.1 रिलीज

विकासको एक वर्ष पछि प्रस्तुत प्याकेट फिल्टर रिलीज nftables 0.9.1, IPv6, IPv4, ARP र नेटवर्क ब्रिजहरूको लागि प्याकेट फिल्टरिङ इन्टरफेसहरू एकीकृत गरेर iptables, ip6table, arptables र ebtables को प्रतिस्थापनको रूपमा विकास गर्दै। nftables प्याकेजले प्रयोगकर्ता-स्पेस प्याकेट फिल्टर कम्पोनेन्टहरू समावेश गर्दछ, जबकि कर्नेल-स्तर कार्य nf_tables उपप्रणाली द्वारा प्रदान गरिएको छ, जुन रिलीज 3.13 देखि लिनक्स कर्नेलको भाग भएको छ।

कर्नेल स्तरले केवल एक सामान्य प्रोटोकल-स्वतन्त्र इन्टरफेस प्रदान गर्दछ जसले प्याकेटहरूबाट डाटा निकाल्न, डाटा सञ्चालनहरू, र प्रवाह नियन्त्रण गर्न आधारभूत कार्यहरू प्रदान गर्दछ।
फिल्टरिङ तर्क आफै र प्रोटोकल-विशिष्ट ह्यान्डलरहरू प्रयोगकर्ता स्पेसमा बाइटकोडमा कम्पाइल हुन्छन्, त्यसपछि यो बाइटकोड नेटलिङ्क इन्टरफेस प्रयोग गरेर कर्नेलमा लोड हुन्छ र BPF (बर्कले प्याकेट फिल्टरहरू) को सम्झना गराउने विशेष भर्चुअल मेसिनमा कार्यान्वयन गरिन्छ। यो दृष्टिकोणले तपाईंलाई कर्नेल स्तरमा चलिरहेको फिल्टरिङ कोडको साइज घटाउन र प्रोटोकलहरूसँग प्रयोगकर्ता स्पेसमा काम गर्नका लागि पार्सिङ नियम र तर्कका सबै कार्यहरू सार्न अनुमति दिन्छ।

मुख्य आविष्कारहरू:

IPsec समर्थन, प्याकेट, IPsec अनुरोध ID, र SPI (सुरक्षा प्यारामिटर सूचकांक) ट्यागमा आधारित सुरुङ ठेगानाहरू मिलाउन अनुमति दिँदै। उदाहरण को लागी,
... ipsec ip sadr 192.168.1.0/24 मा
... ipsec in spi 1-65536

यो पनि जाँच गर्न सम्भव छ कि एक मार्ग IPsec सुरुङ मार्फत जान्छ। उदाहरण को लागी, IPSec मार्फत ट्राफिक रोक्न को लागी:

… फिल्टर आउटपुट rt ipsec हराइरहेको ड्रप
IGMP (इन्टरनेट समूह व्यवस्थापन प्रोटोकल) को लागि समर्थन। उदाहरणका लागि, तपाईंले आगमन IGMP समूह सदस्यता अनुरोधहरू खारेज गर्न नियम प्रयोग गर्न सक्नुहुन्छ
nft नियम थप्नुहोस् netdev foo bar igmp प्रकार सदस्यता-क्वेरी काउन्टर ड्रप
ट्रान्जिसन चेनहरू परिभाषित गर्न चरहरू प्रयोग गर्ने सम्भावना (जम्प / गोटो)। उदाहरणका लागि:
dest = ber परिभाषित गर्नुहोस्
नियम ip foo बार जम्प $dest थप्नुहोस्
हेडरमा TTL मानहरूमा आधारित अपरेटिङ सिस्टम (OS फिंगरप्रिन्ट) पहिचान गर्न मास्कहरूको लागि समर्थन। उदाहरणका लागि, प्रेषक OS मा आधारित प्याकेटहरू चिन्ह लगाउन, तपाईंले आदेश प्रयोग गर्न सक्नुहुन्छ:
... मेटा मार्क सेट osf ttl नाम नक्सा छोड्नुहोस् { "Linux" : 0x1,
"विन्डोज": ०x२,
"MacOS": ०x३,
"अज्ञात" : ०x० }
... osf ttl स्किप संस्करण "Linux: 4.20"
प्रेषकको ARP ठेगाना र लक्षित प्रणालीको IPv4 ठेगानासँग मेल खाने क्षमता। उदाहरणका लागि, 192.168.2.1 ठेगानाबाट पठाइएको ARP प्याकेटहरूको काउन्टर बढाउनको लागि, तपाईंले निम्न नियम प्रयोग गर्न सक्नुहुन्छ:
तालिका arp x {
चेन y {
टाइप फिल्टर हुक इनपुट प्राथमिकता फिल्टर; नीति स्वीकार;
arp saddr ip 192.168.2.1 काउन्टर प्याकेट 1 बाइट्स 46
}
}
प्रोक्सी (tproxy) मार्फत अनुरोधहरूको पारदर्शी फर्वार्डिङको लागि समर्थन। उदाहरणका लागि, कलहरू पोर्ट 80 लाई प्रोक्सी पोर्ट 8080 मा रिडिरेक्ट गर्न:
तालिका ip x {
चेन y {
प्रकार फिल्टर हुक prerouting प्राथमिकता -150; नीति स्वीकार;
tcp dport 80 tproxy to :8080
}
}
SO_MARK मोडमा setsockopt() मार्फत सेट चिन्ह थप प्राप्त गर्ने क्षमताको साथ मार्किङ सकेटहरूको लागि समर्थन। उदाहरणका लागि:
तालिका inet x {
चेन y {
प्रकार फिल्टर हुक prerouting प्राथमिकता -150; नीति स्वीकार;
tcp dport 8080 मार्क सेट सकेट मार्क
}
}
चेनहरूको लागि प्राथमिकता पाठ नामहरू निर्दिष्ट गर्न समर्थन। उदाहरणका लागि:
nft चेन थप्नुहोस् ip x raw { प्रकार फिल्टर हुक prerouting priority raw; }
nft चेन ip x फिल्टर थप्नुहोस् { प्रकार फिल्टर हुक प्रिरुटिंग प्राथमिकता फिल्टर; }
nft चेन थप्नुहोस् ip x filter_later { प्रकार फिल्टर हुक प्रिरुटिंग प्राथमिकता फिल्टर + 10; }
SELinux ट्याग (Secmark) को लागि समर्थन। उदाहरणका लागि, SELinux सन्दर्भमा "sshtag" ट्याग परिभाषित गर्न, तपाईंले चलाउन सक्नुहुन्छ:
nft secmark inet फिल्टर sshtag "system_u:object_r:ssh_server_packet_t:s0" थप्नुहोस्

र त्यसपछि नियमहरूमा यो लेबल प्रयोग गर्नुहोस्:

nft नियम inet फिल्टर इनपुट tcp dport 22 मेटा सेकमार्क सेट "sshtag" थप्नुहोस्

nft नक्सा inet फिल्टर secmapping थप्नुहोस् { type inet_service : secmark; }
nft तत्व थप्नुहोस् inet फिल्टर secmapping { 22 : "sshtag" }
nft नियम inet फिल्टर इनपुट मेटा सेकमार्क सेट tcp dport नक्शा @secmapping थप्नुहोस्
पाठ फारममा प्रोटोकलहरूमा तोकिएका पोर्टहरू निर्दिष्ट गर्न सक्ने क्षमता, जस्तै तिनीहरू /etc/services फाइलमा परिभाषित छन्। उदाहरणका लागि:
nft नियम xy tcp dport "ssh" थप्नुहोस्
nft सूची नियमहरू -l
तालिका x {
चेन y {
...
tcp dport "ssh"
}
}
नेटवर्क इन्टरफेस को प्रकार जाँच गर्न क्षमता। उदाहरणका लागि:
नियम inet raw prerouting meta iifkind "vrf" स्वीकार गर्नुहोस्
"गतिशील" झण्डा स्पष्ट रूपमा निर्दिष्ट गरेर सेटहरूको सामग्रीहरूलाई गतिशील रूपमा अद्यावधिक गर्नको लागि सुधारिएको समर्थन। उदाहरणका लागि, स्रोत ठेगाना थप्न सेट "s" अद्यावधिक गर्न र ३० सेकेन्डका लागि प्याकेटहरू नभएमा प्रविष्टि रिसेट गर्न:
तालिका x थप्नुहोस्
सेट xs थप्नुहोस् {प्रकार ipv4_addr; आकार 128; टाइमआउट 30s; झण्डा गतिशील; }
चेन xy थप्नुहोस् { प्रकार फिल्टर हुक इनपुट प्राथमिकता 0; }
नियम xy अपडेट @s { ip saddr } थप्नुहोस्
एक अलग टाइमआउट अवस्था सेट गर्न क्षमता। उदाहरण को लागी, पोर्ट 8888 मा आगमन प्याकेटहरु को लागी पूर्वनिर्धारित टाइमआउट ओभरराइड गर्न, तपाइँ निर्दिष्ट गर्न सक्नुहुन्छ:
तालिका आईपी फिल्टर {
ct टाइमआउट आक्रामक-tcp {
प्रोटोकल tcp;
l3proto ip;
नीति = {स्थापित: 100, बन्द_प्रतीक्षा: 4, बन्द: 4}
}
चेन आउटपुट {
...
tcp dport 8888 ct टाइमआउट सेट "आक्रामक-tcp"
}
}
नेट परिवारको लागि NAT समर्थन:
तालिका inet nat {
...
ip6 daddr dead::2::1 dnat to dead:2::99
}
सुधारिएको टाइपो त्रुटि रिपोर्टिङ:
nft चेन फिल्टर परीक्षण थप्नुहोस्

त्रुटि: त्यस्तो कुनै फाइल वा डाइरेक्टरी छैन; के तपाईंले पारिवारिक आईपीमा तालिका "फिल्टर" भन्न खोज्नुभएको हो?
चेन फिल्टर परीक्षण थप्नुहोस्
^^^^^^
सेटहरूमा इन्टरफेस नामहरू निर्दिष्ट गर्ने क्षमता:
सेट sc {
inet_service टाइप गर्नुहोस्। ifname
तत्व = {"ssh"। "eth0" }
}
अद्यावधिक प्रवाह तालिका नियम वाक्य रचना:
nft तालिका x थप्नुहोस्
nft फ्लोटेबल x ft जोड्नुहोस् {हुक प्रवेश प्राथमिकता 0; उपकरण = {eth0, wlan0}; }
...
nft थप्नुहोस् नियम x अगाडि आईपी प्रोटोकल { tcp, udp } प्रवाह @ft थप्नुहोस्
सुधारिएको JSON समर्थन।

स्रोत: opennet.ru

nftables प्याकेट फिल्टर 0.9.1 रिलीज

एक टिप्पणी थप्न Отменить ответ