🥇Nftables प्याकेट फिल्टर 1.0.2 रिलीज

प्याकेट फिल्टर nftables 1.0.2 को रिलीज प्रकाशित गरिएको छ, IPv4, IPv6, ARP र नेटवर्क ब्रिजहरू (iptables, ip6table, arptables र ebtables प्रतिस्थापन गर्ने उद्देश्यले) को लागि प्याकेट फिल्टरिंग इन्टरफेसहरू एकीकृत गर्दै। काम गर्न nftables 1.0.2 रिलीजको लागि आवश्यक परिवर्तनहरू लिनक्स कर्नेल 5.17-rc मा समावेश छन्।

nftables प्याकेजले प्रयोगकर्ता स्पेसमा चल्ने प्याकेट फिल्टर कम्पोनेन्टहरू समावेश गर्दछ, जबकि कर्नेल-स्तरको काम nf_tables उपप्रणालीद्वारा प्रदान गरिएको छ, जुन 3.13 रिलीजदेखि लिनक्स कर्नेलको अंश भएको छ। कर्नेल स्तरले केवल एक सामान्य प्रोटोकल-स्वतन्त्र इन्टरफेस प्रदान गर्दछ जसले प्याकेटहरूबाट डाटा निकाल्न, डाटा सञ्चालनहरू, र प्रवाह नियन्त्रण गर्न आधारभूत कार्यहरू प्रदान गर्दछ।

फिल्टरिङ नियमहरू आफैं र प्रोटोकल-विशिष्ट ह्यान्डलरहरू प्रयोगकर्ता-स्पेस बाइटकोडमा कम्पाइल हुन्छन्, त्यसपछि यो बाइटकोड नेटलिङ्क इन्टरफेस प्रयोग गरेर कर्नेलमा लोड गरिन्छ र BPF (बर्कले प्याकेट फिल्टरहरू) जस्तै विशेष भर्चुअल मेसिनमा कर्नेलमा कार्यान्वयन गरिन्छ। यो दृष्टिकोणले कर्नेल स्तरमा चलिरहेको फिल्टरिङ कोडको साइजलाई उल्लेखनीय रूपमा घटाउन र पार्सिङ नियमका सबै प्रकार्यहरू र प्रोटोकलहरूसँग प्रयोगकर्ता स्पेसमा काम गर्ने तर्कलाई सार्न सम्भव बनाउँछ।

मुख्य आविष्कारहरू:

नियम अप्टिमाइजेसन मोड थपिएको छ, नयाँ "-o" ("--अप्टिमाइज") विकल्प प्रयोग गरी सक्षम पारिएको छ, जसलाई "--चेक" विकल्पसँग जोड्न सकिन्छ र नियमसेट फाइलमा परिवर्तनहरू वास्तवमा लोड नगरिकन अप्टिमाइज गर्न सकिन्छ। । अनुकूलनले तपाईंलाई समान नियमहरू संयोजन गर्न अनुमति दिन्छ, उदाहरणका लागि, नियमहरू: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 स्वीकार गर्नुहोस् meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 स्वीकार गर्नुहोस् ip saddr.1.1.1.1ip .2.2.2.2 ip saddr 2.2.2.2 ip daddr 3.3.3.3 ड्रप स्वीकार गर्नुहोस्
मेटा iifname मा जोडिनेछ। ip saddr। ip daddr {eth1. १.१.१.१। 1.1.1.1, eth2.2.2.3। १.१.१.२। 1} ip sadr स्वीकार गर्नुहोस्। ip daddr vmap { 1.1.1.2 . २.२.२.२: स्वीकार, २.२.२.२। ३.३.३.३ : ड्रप}

उदाहरण प्रयोग: # nft -c -o -f ruleset.test मर्जिङ: ruleset.nft:16:3-37: ip daddr 192.168.0.1 counter accept ruleset.nft:17:3-37: ip daddr 192.168.0.2 counter accept ruleset.nft:18:3-37: ip daddr 192.168.0.3 काउन्टर स्वीकार गर्नुहोस्: ip daddr { 192.168.0.1, 192.168.0.2, 192.168.0.3 } काउन्टर प्याकेटहरू 0 बाइटहरू 0 स्वीकार गर्नुहोस्
सेट सूचीहरूले ip र tcp विकल्पहरू, साथै sctp खण्डहरू निर्दिष्ट गर्ने क्षमतालाई कार्यान्वयन गर्दछ: सेट s5 { typeof ip option ra value तत्वहरू = { 1, 1024 } } सेट s7 { typeof sctp chunk init num-inbound-streams तत्वहरू = { 1, 4 } } चेन c5 { ip option ra value @s5 स्वीकार गर्नुहोस् } चेन c7 { sctp chunk init num-inbound-streams @s7 स्वीकार गर्नुहोस् }
TCP विकल्पहरू fastopen, md5sig र mptcp को लागि समर्थन थपियो।
म्यापिङमा mp-tcp उपप्रकार प्रयोग गर्नका लागि समर्थन थपियो: tcp विकल्प mptcp उपप्रकार १
सुधारिएको कर्नेल-साइड फिल्टरिङ कोड।
Flowtable अब JSON ढाँचाको लागि पूर्ण समर्थन छ।
इथरनेट फ्रेम मिल्दो कार्यहरूमा "अस्वीकार" कार्य प्रयोग गर्ने क्षमता प्रदान गरिएको छ। ether saddr aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 अस्वीकार

स्रोत: opennet.ru

nftables प्याकेट फिल्टर 1.0.2 रिलीज

एक टिप्पणी थप्न Отменить ответ