nftables प्याकेट फिल्टर 1.0.0 रिलीज

प्याकेट फिल्टर nftables 1.0.0 को रिलीज प्रकाशित गरिएको छ, IPv4, IPv6, ARP र नेटवर्क ब्रिजहरू (iptables, ip6table, arptables र ebtables लाई प्रतिस्थापन गर्ने उद्देश्यले) को लागि प्याकेट फिल्टरिंग इन्टरफेसहरू एकीकृत गर्दै। काम गर्न nftables 1.0.0 रिलीजको लागि आवश्यक परिवर्तनहरू Linux 5.13 कर्नेलमा समावेश छन्। संस्करण संख्यामा महत्त्वपूर्ण परिवर्तन कुनै पनि आधारभूत परिवर्तनहरूसँग सम्बन्धित छैन, तर दशमलव सङ्केतमा सङ्ख्याको निरन्तर निरन्तरताको परिणाम मात्र हो (अघिल्लो विमोचन ०.९.९ थियो)।

nftables प्याकेजले प्रयोगकर्ता स्पेसमा चल्ने प्याकेट फिल्टर कम्पोनेन्टहरू समावेश गर्दछ, जबकि कर्नेल-स्तरको काम nf_tables उपप्रणालीद्वारा प्रदान गरिएको छ, जुन 3.13 रिलीजदेखि लिनक्स कर्नेलको अंश भएको छ। कर्नेल स्तरले केवल एक सामान्य प्रोटोकल-स्वतन्त्र इन्टरफेस प्रदान गर्दछ जसले प्याकेटहरूबाट डाटा निकाल्न, डाटा सञ्चालनहरू, र प्रवाह नियन्त्रण गर्न आधारभूत कार्यहरू प्रदान गर्दछ।

फिल्टरिङ नियमहरू आफैं र प्रोटोकल-विशिष्ट ह्यान्डलरहरू प्रयोगकर्ता-स्पेस बाइटकोडमा कम्पाइल हुन्छन्, त्यसपछि यो बाइटकोड नेटलिङ्क इन्टरफेस प्रयोग गरेर कर्नेलमा लोड गरिन्छ र BPF (बर्कले प्याकेट फिल्टरहरू) जस्तै विशेष भर्चुअल मेसिनमा कर्नेलमा कार्यान्वयन गरिन्छ। यो दृष्टिकोणले कर्नेल स्तरमा चलिरहेको फिल्टरिङ कोडको साइजलाई उल्लेखनीय रूपमा घटाउन र पार्सिङ नियमका सबै प्रकार्यहरू र प्रोटोकलहरूसँग प्रयोगकर्ता स्पेसमा काम गर्ने तर्कलाई सार्न सम्भव बनाउँछ।

मुख्य आविष्कारहरू:

• "*" मास्क तत्वको लागि समर्थन सेट सूचीहरूमा थपिएको छ, जुन सेटमा परिभाषित अन्य तत्वहरू अन्तर्गत नपर्ने कुनै पनि प्याकेजहरूको लागि ट्रिगर गरिएको छ। तालिका x { नक्सा ब्लकलिस्ट { प्रकार ipv4_addr : निर्णय झण्डा अन्तराल तत्वहरू = { 192.168.0.0/16 : स्वीकार गर्नुहोस् , 10.0.0.0/8 : स्वीकार गर्नुहोस् , * : ड्रप } } चेन y { प्रकार फिल्टर हुक प्रिरुटिंग प्राथमिकता 0; नीति स्वीकार; ip saddr vmap @blocklist } }
• "--define" विकल्प प्रयोग गरेर कमाण्ड लाइनबाट चर परिभाषित गर्न सम्भव छ। # cat test.nft तालिका netdev x { चेन y { प्रकार फिल्टर हुक प्रवेश उपकरणहरू = $dev प्राथमिकता 0; नीति गिरावट; } } # nft — define dev="{ eth0, eth1 }" -f test.nft
• नक्सा सूचीहरूमा, स्थिर (स्टेटफुल) अभिव्यक्तिहरूको प्रयोगलाई अनुमति दिइएको छ: तालिका inet फिल्टर { नक्सा पोर्टम्याप { प्रकार inet_service : निर्णय काउन्टर तत्वहरू = { 22 काउन्टर प्याकेटहरू 0 बाइट्स 0 : जम्प ssh_input, * काउन्टर प्याकेटहरू 0 बाइट्स 0 : ड्रप } } चेन ssh_input { } चेन wan_input { tcp dport vmap @portmap } चेन प्रिरुटिङ् { प्रकार फिल्टर हुक प्रिरोउटिंग प्राथमिकता कच्चा; नीति स्वीकार; iif vmap { "lo" : जम्प वान_इनपुट } }
• दिइएको प्याकेट परिवारका लागि ह्यान्डलरहरूको सूची प्रदर्शन गर्न "सूची हुकहरू" आदेश थपियो: # nft सूची हुकहरू ip यन्त्र eth0 परिवार ip { हुक प्रवेश { +0000000010 चेन नेटदेव xy [nf_tables] +0000000300 चेन inet mw [nf_tables int] { -0000000100 चेन ip ab [nf_tables] +0000000300 चेन inet mz [nf_tables] } हुक फर्वार्ड { -0000000225 selinux_ipv4_forward 0000000000 चेन ip ac [nf_tables }0000000225_4 output] 0000000225_आउटपुट } हुक पोस्टराउटिंग { +4 XNUMX selinux_ipvXNUMX_postroute } }
• कतार ब्लकहरूले jhash, symhash, र numgen अभिव्यक्तिहरूलाई प्रयोगकर्ता स्पेसमा कतारहरूमा प्याकेटहरू वितरण गर्न संयोजन गर्न अनुमति दिन्छ। … symhash मोड 65536 लाई कतार … numgen inc mod 65536 लाई बाइपास लाम झण्डा … झाश ओइएफ लाई लाम। meta mark mod 32 "queue" लाई पनि नक्सा सूचीहरु संग संयोजन गर्न सकिन्छ प्रयोगकर्ता स्पेस मा एक लाम चयन गर्न को लागी स्वेच्छाचारी कुञ्जीहरु मा आधारित। ... लाम झण्डा oifname नक्सा बाइपास { "eth0" : 0, "pp0" : 2, "eth1" : 2 }
• धेरै नक्सामा सेट सूची समावेश गर्ने चरहरू विस्तार गर्न सम्भव छ। इन्टरफेस परिभाषित गर्नुहोस् = { eth0, eth1 } तालिका ip x { चेन y { प्रकार फिल्टर हुक इनपुट प्राथमिकता 0; नीति स्वीकार; iifname vmap { lo : स्वीकार गर्नुहोस्, $ इन्टरफेसहरू : ड्रप } } } # nft -f x.nft # nft सूची नियम तालिका ip x { चेन y { टाइप फिल्टर हुक इनपुट प्राथमिकता 0; नीति स्वीकार; iifname vmap { "lo" : स्वीकार गर्नुहोस्, "eth0" : drop, "eth1" : drop } }
• अन्तरालहरूमा vmaps (निर्णय नक्शा) संयोजन गर्न अनुमति छ: # nft नियम xy tcp dport थप्नुहोस्। ip saddr vmap { 1025-65535 . 192.168.10.2 : स्वीकार गर्नुहोस् }
• NAT म्यापिङका लागि सरलीकृत सिन्ट्याक्स। ठेगाना दायराहरू निर्दिष्ट गर्न अनुमति दिइएको छ: ... snat to ip saddr नक्शा { 10.141.11.4 : 192.168.2.2-192.168.2.4 } वा स्पष्ट IP ठेगानाहरू र पोर्टहरू: ... dnat to ip saddr नक्शा { 10.141.11.4 : । 192.168.2.3 } वा IP दायरा र पोर्टहरूको संयोजन: ... dnat to ip saddr। tcp dport नक्शा { 80 . ८०: १०.१४१.१०.२-१०.१४१.१०.५। ८८८८-८९९९ }

स्रोत: opennet.ru