nftables प्याकेट फिल्टर 1.0.5 रिलीज

प्याकेट फिल्टर nftables 1.0.5 को रिलीज प्रकाशित गरिएको छ, IPv4, IPv6, ARP र नेटवर्क ब्रिजहरू (iptables, ip6table, arptables र ebtables लाई प्रतिस्थापन गर्ने उद्देश्यले) को लागि प्याकेट फिल्टरिंग इन्टरफेसहरू एकीकृत गर्दै। एकै समयमा, साथी पुस्तकालय libnftnl 1.2.3 को रिलीज प्रकाशित गरिएको थियो, nf_tables उपप्रणालीसँग अन्तरक्रियाको लागि निम्न-स्तर API प्रदान गर्दै।

nftables प्याकेजमा प्याकेट फिल्टर कम्पोनेन्टहरू हुन्छन् जुन प्रयोगकर्ता ठाउँमा काम गर्छन्, जबकि कर्नेल-स्तरको काम nf_tables उपप्रणालीद्वारा प्रदान गरिन्छ, जुन कर्नेलको भाग हो। Linux रिलिज ३.१३ देखि, कर्नेल स्तरमा केवल एक सामान्य प्रोटोकल-स्वतन्त्र इन्टरफेस प्रदान गरिएको छ, जसले प्याकेटहरूबाट डेटा निकाल्न, डेटा सञ्चालन गर्न, र प्रवाह नियन्त्रण गर्न आधारभूत कार्यक्षमता प्रदान गर्दछ।

फिल्टरिङ नियमहरू आफैं र प्रोटोकल-विशिष्ट ह्यान्डलरहरू प्रयोगकर्ता स्पेसमा बाइटकोडमा कम्पाइल गरिन्छन्, त्यसपछि यो बाइटकोड नेटलिङ्क इन्टरफेस प्रयोग गरेर कर्नेलमा लोड गरिन्छ र विशेष रूपमा कर्नेलमा कार्यान्वयन गरिन्छ। भर्चुअल मेसिन, BPF (बर्कले प्याकेट फिल्टर) को सम्झना दिलाउने। यो दृष्टिकोणले कर्नेल स्तरमा चलिरहेको फिल्टरिङ कोडको आकारमा उल्लेखनीय कमी ल्याउन अनुमति दिन्छ र सबै नियम पार्सिङ र प्रोटोकल तर्कलाई प्रयोगकर्ता ठाउँमा सार्छ।

मुख्य परिवर्तनहरू:

• नियम अप्टिमाइजरमा, "-o/-अप्टिमाइज" विकल्प निर्दिष्ट गर्दा भनिन्छ, नियम, नक्सा र सेट सूचीहरू संयोजन गर्ने समस्याहरू समाधान गरिएको छ। # cat ruleset.nft तालिका ip x { चेन y { टाइप नेट हुक पोस्टराउटिंग प्राथमिकता srcnat; नीति गिरावट; ip saddr 1.1.1.1 tcp dport 8000 snat to 4.4.4.4:80 ip saddr 2.2.2.2 tcp dport 8001 snat देखि 5.5.5.5:90 } } # nft -o -cft -f मर्जिङ नियमहरू:4. :3-52: ip saddr 1.1.1.1 tcp dport 8000 snat to 4.4.4.4:80 ruleset.nft: 5:3-52: ip saddr 2.2.2.2 tcp dport 8001 snat देखि 5.5.5.5t सम्म sadr tcp dport नक्शा { 90 . ८०००: ४.४.४.४। ८०, २.२.२.२। ८००१: ५.५.५.५। ९०}
• इथरनेट र vlan तत्वहरू संयोजन गर्दा, एक गतिशील सेट सूची परिभाषित गरिएको छ, प्याकेट पथ प्यारामिटरहरूमा आधारित भरिएको छ। तालिका थप्नुहोस् netdev x थप्नुहोस् चेन netdev xy { प्रकार फिल्टर हुक प्रवेश उपकरण enp0s25 प्राथमिकता 0; } थप्नुहोस् सेट नेटदेव एक्स म्याकसेट { प्रकारको ईथर ड्याडर। vlan आईडी; झण्डा गतिशील, टाइमआउट; } नियम थप्नुहोस् netdev xy अपडेट @macset { ether daddr। vlan id टाइमआउट 60s } नियम थप्नुहोस् netdev xy ether saddr। vlan आईडी { 0a:0b:0c:0d:0e:0f। 42, 0a:0b:0c:0d:0e:0f। 4095 } काउन्टर स्वीकार
• इन्टरफेस नामहरूमा मास्कहरू समावेश गर्ने नक्सा सूचीहरूसँग नियमहरूको प्रदर्शन समायोजन गरिएको छ। तालिका inet फिल्टर { चेन INPUT { iifname vmap { "eth0" : जम्प input_lan, "wg*" : जम्प input_vpn } } चेन input_lan {} चेन input_vpn {} }
• सही नियमहरूको गलत लेक्सिकल पार्सिङतर्फ अग्रसर हुने प्रतिगामी परिवर्तनहरू हटाइएका छन्।
• ढिलो प्रशोधन र ठूला सूचीहरूको स्वत: मर्जको समस्याहरू मूल्य दायराहरू परिभाषित गर्ने तत्वहरू समाधान गरिएको छ।
• गलत सेट सूचीमा तत्वहरू थप्दा फिक्स्ड क्र्यास।

स्रोत: opennet.ru