nftables प्याकेट फिल्टर 0.9.4 रिलीज

प्रकाशित प्याकेट फिल्टर रिलीज nftables 0.9.4, IPv6, IPv4, ARP र नेटवर्क ब्रिजहरूको लागि प्याकेट फिल्टरिङ इन्टरफेसहरू एकीकृत गरेर iptables, ip6table, arptables र ebtables को प्रतिस्थापनको रूपमा विकास गर्दै। nftables प्याकेजले प्रयोगकर्ता-स्पेस प्याकेट फिल्टर कम्पोनेन्टहरू समावेश गर्दछ, जबकि कर्नेल-स्तर कार्य nf_tables उपप्रणालीद्वारा प्रदान गरिएको छ, जुन रिलीज 3.13 देखि लिनक्स कर्नेलको भाग भएको छ। काम गर्न nftables 0.9.4 रिलीजको लागि आवश्यक परिवर्तनहरू भविष्यको कर्नेल शाखामा समावेश छन्। लिनक्स 5.6.

कर्नेल स्तरले केवल एक सामान्य प्रोटोकल-स्वतन्त्र इन्टरफेस प्रदान गर्दछ जसले प्याकेटहरूबाट डाटा निकाल्न, डाटा सञ्चालनहरू, र प्रवाह नियन्त्रण गर्न आधारभूत कार्यहरू प्रदान गर्दछ। फिल्टरिङ नियमहरू र प्रोटोकल-विशिष्ट ह्यान्डलरहरू प्रयोगकर्ता स्पेसमा बाइटकोडमा कम्पाइल हुन्छन्, त्यसपछि यो बाइटकोड नेटलिङ्क इन्टरफेस प्रयोग गरेर कर्नेलमा लोड गरिन्छ र BPF (बर्कले प्याकेट फिल्टरहरू) को सम्झना दिलाउने विशेष भर्चुअल मेसिनमा कर्नेलमा कार्यान्वयन गरिन्छ। यो दृष्टिकोणले तपाईंलाई कर्नेल स्तरमा चलिरहेको फिल्टरिङ कोडको साइज घटाउन र प्रोटोकलहरूसँग प्रयोगकर्ता स्पेसमा काम गर्नका लागि पार्सिङ नियम र तर्कका सबै कार्यहरू सार्न अनुमति दिन्छ।

मुख्य आविष्कारहरू:

• जडानहरूमा दायराहरूको लागि समर्थन (कन्कटेनेसन, ठेगानाहरूको निश्चित बन्डलहरू र तुलनालाई सरल बनाउने पोर्टहरू)। उदाहरणका लागि, एउटा सेट "ह्वाइटलिस्ट" को लागि जसको तत्वहरू एट्याचमेन्ट हुन्, "इन्टरभल" फ्ल्याग निर्दिष्ट गर्दा सेटले एट्याचमेन्टमा दायराहरू समावेश गर्न सक्छ भन्ने संकेत गर्छ (एट्याचमेन्ट "ipv4_addr . ipv4_addr . inet_service" को लागि यो पहिले सटीक सूचीबद्ध गर्न सम्भव थियो। फारम "192.168.10.35. 192.68.11.123" को मिल्छ, र अब तपाइँ ठेगानाहरूको समूह निर्दिष्ट गर्न सक्नुहुन्छ "80-192.168.10.35-192.168.10.40):

  तालिका ip foo {
  सेतोसूची सेट गर्नुहोस् {
  ipv4_addr टाइप गर्नुहोस्। ipv4_addr। inet_service
  झण्डा अन्तराल
  तत्व = {192.168.10.35-192.168.10.40। १९२.६८.११.१२३-१९२.१६८.११.१२५। ८०}
  }

  चेन बार {
  प्रकार फिल्टर हुक prerouting प्राथमिकता फिल्टर; नीति गिरावट;
  ip saddr। ip daddr। tcp dport @whitelist स्वीकार गर्नुहोस्
  }
  }

• सेटहरू र नक्सा सूचीहरूमा, "typeof" निर्देशन प्रयोग गर्न सम्भव छ, जसले मिलान गर्दा तत्वको ढाँचा निर्धारण गर्दछ।
  उदाहरणका लागि:

  तालिका ip foo {
  सेतोसूची सेट गर्नुहोस् {
  ip saddr को प्रकार
  तत्व = {192.168.10.35, 192.168.10.101, 192.168.10.135 }
  }

  चेन बार {
  प्रकार फिल्टर हुक prerouting प्राथमिकता फिल्टर; नीति गिरावट;
  ip daddr @whitelist स्वीकार गर्नुहोस्
  }
  }

  तालिका ip foo {
  नक्सा addr2mark {
  ip saddr को प्रकार: मेटा मार्क
  तत्व = {192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
  }
  }

• NAT बाइन्डिङहरूमा जोडिने प्रयोग गर्ने क्षमता थपियो, जसले तपाईंलाई नक्सा सूची वा नामित सेटहरूमा आधारित NAT रूपान्तरणहरू परिभाषित गर्दा ठेगाना र पोर्ट निर्दिष्ट गर्न अनुमति दिन्छ:

  nft जोड्ने नियम ip nat pre dnat ip addr। पोर्ट देखि ip saddr नक्शा { 1.1.1.1 : 2.2.2.2 . तीस }

  nft नक्सा थप्नुहोस् ip nat गन्तव्यहरू { type ipv4_addr। inet_service: ipv4_addr। inet_service \\; }
  nft जोड्ने नियम ip nat pre dnat ip addr। पोर्ट देखि आईपी सेडर। tcp dport नक्शा @ destinations

• सञ्जाल कार्डद्वारा गरिएका केही फिल्टरिङ कार्यहरूसँग हार्डवेयर प्रवेगका लागि समर्थन। एक्सेलेरेशन ethtool उपयोगिता ("ethtool -K eth0 hw-tc-offload on") मार्फत सक्षम गरिएको छ, त्यसपछि यसलाई "अफलोड" झण्डा प्रयोग गरेर मुख्य चेनको लागि nftables मा सक्रिय गरिन्छ। लिनक्स कर्नेल 5.6 प्रयोग गर्दा, हेडर फिल्ड मिल्दो र आगमन इन्टरफेस निरीक्षणको लागि प्राप्त, खारेज, डुप्लिकेट (dup), र फर्वार्डिङ (fwd) प्याकेटहरूको संयोजनमा हार्डवेयर एक्सेलेरेशन समर्थित छ। तलको उदाहरणमा, ठेगाना 192.168.30.20 बाट आउने प्याकेटहरू छोड्ने कार्यहरू नेटवर्क कार्ड स्तरमा, कर्नेलमा प्याकेटहरू पास नगरिकन गरिन्छ:

  # cat file.nft
  तालिका netdev x {
  चेन y {
  प्रकार फिल्टर हुक प्रवेश उपकरण eth0 प्राथमिकता 10; झण्डा अफलोड;
  ip saddr 192.168.30.20 ड्रप
  }
  }
  # nft -f file.nft

• नियमहरूमा त्रुटिको स्थान बारे सुधारिएको जानकारी।

  # nft मेटाउने नियम ip yz ह्यान्डल 7
  त्रुटि: नियम प्रक्रिया गर्न सकिएन: त्यस्तो कुनै फाइल वा डाइरेक्टरी छैन
  नियम ip yz ह्यान्डल 7 मेटाउनुहोस्
  ^

  # nft मेटाउने नियम ip xx ह्यान्डल 7
  त्रुटि: नियम प्रक्रिया गर्न सकिएन: त्यस्तो कुनै फाइल वा डाइरेक्टरी छैन
  नियम ipxx ह्यान्डल 7 मेटाउनुहोस्
  ^

  # nft तालिका twst मेटाउनुहोस्
  त्रुटि: त्यस्तो कुनै फाइल वा डाइरेक्टरी छैन; के तपाईंले पारिवारिक ip मा तालिका 'परीक्षण' भन्न खोज्नुभएको हो?
  तालिका twst मेटाउनुहोस्
  ।।

  पहिलो उदाहरणले देखाउँछ कि तालिका "y" प्रणालीमा छैन, दोस्रो कि "7" ह्यान्डलर हराइरहेको छ, र तेस्रो जुन तालिकाको नाम टाइप गर्दा टाइपो प्रम्प्ट प्रदर्शित हुन्छ।

• "meta sdif" वा "meta sdifname" निर्दिष्ट गरेर दास इन्टरफेस जाँच गर्न समर्थन थपियो:

  ... meta sdifname vrf1 ...

• दायाँ वा बायाँ शिफ्ट अपरेशनहरूको लागि समर्थन थपियो। उदाहरण को लागी, 1 बिट द्वारा बायाँ अवस्थित प्याकेट लेबल सार्न र माइनर बिट 1 मा सेट गर्नुहोस्:

  ... मेटा मार्क सेट मेटा मार्क lshift 1 वा 0x1 ...

• विस्तारित संस्करण जानकारी प्रदर्शन गर्न "-V" विकल्प लागू गरियो।

  # nft -V
  nftables v0.9.4 (जाइभ एट फाइभ)
  cli: readline
  json: हो
  minigmp: होइन
  libxtables: हो

• आदेश लाइन विकल्पहरू अब आदेश अघि निर्दिष्ट गर्नुपर्छ। उदाहरणका लागि, तपाईंले "nft -a list ruleset" निर्दिष्ट गर्न आवश्यक छ, र "nft list ruleset -a" चलाउँदा त्रुटि हुनेछ।

  स्रोत: opennet.ru