🥇Nftables प्याकेट फिल्टर 1.0.7 रिलीज

nftables 1.0.7 प्याकेट फिल्टर रिलीज प्रकाशित गरिएको छ, IPv4, IPv6, ARP र नेटवर्क ब्रिजहरू (iptables, ip6table, arptables र ebtables लाई प्रतिस्थापन गर्ने उद्देश्यले) को लागि प्याकेट फिल्टरिङ इन्टरफेसहरू एकीकृत गर्दै। nftables प्याकेजले प्रयोगकर्ता स्पेसमा चल्ने प्याकेट फिल्टर कम्पोनेन्टहरू समावेश गर्दछ, जबकि कर्नेल स्तर nf_tables उपप्रणालीद्वारा प्रदान गरिएको छ, जुन रिलीज 3.13 देखि लिनक्स कर्नेलको भाग भएको छ। कर्नेल स्तरमा, केवल एक सामान्य प्रोटोकल-स्वतन्त्र इन्टरफेस प्रदान गरिएको छ जसले प्याकेटहरूबाट डाटा निकाल्न, डाटामा अपरेशनहरू प्रदर्शन गर्न, र प्रवाह नियन्त्रण गर्न आधारभूत कार्यहरू प्रदान गर्दछ।

फिल्टरिङ नियमहरू आफैं र प्रोटोकल-विशिष्ट ह्यान्डलरहरू प्रयोगकर्ता-स्पेस बाइटकोडमा कम्पाइल हुन्छन्, त्यसपछि यो बाइटकोड नेटलिङ्क इन्टरफेस प्रयोग गरेर कर्नेलमा लोड गरिन्छ र BPF (बर्कले प्याकेट फिल्टरहरू) जस्तै विशेष भर्चुअल मेसिनमा कर्नेलमा कार्यान्वयन गरिन्छ। यो दृष्टिकोणले कर्नेल स्तरमा चलिरहेको फिल्टरिङ कोडको साइजलाई उल्लेखनीय रूपमा घटाउन र पार्सिङ नियमका सबै प्रकार्यहरू र प्रोटोकलहरूसँग प्रयोगकर्ता स्पेसमा काम गर्ने तर्कलाई सार्न सम्भव बनाउँछ।

मुख्य परिवर्तनहरू:

Linux 6.2+ कर्नेल प्रणालीहरूका लागि, vxlan, geneve, gre, र gretap प्रोटोकल मिलानका लागि समर्थन थपिएको छ, सरल अभिव्यक्तिहरूलाई encapsulated प्याकेटहरूमा हेडरहरू जाँच गर्न अनुमति दिँदै। उदाहरणका लागि, VxLAN बाट नेस्टेड प्याकेटको हेडरमा आईपी ठेगाना जाँच गर्न, तपाइँ अब नियमहरू प्रयोग गर्न सक्नुहुन्छ (पहिले VxLAN हेडरलाई डिनक्याप्सुलेट गर्न र vxlan0 इन्टरफेसमा फिल्टरलाई बाँध्न आवश्यकता बिना): ... udp dport 4789 vxlan ip protocol udp ... udp dport 4789 vxlan ip saddr 1.2.3.0. 24/4789 ... udp dport 1.2.3.4 vxlan ip saddr। vxlan ip daddr { 4.3.2.1 . ४.३.२.१}
एक सेट-सूची तत्वको आंशिक मेटाए पछि अवशिष्टहरूको स्वचालित मर्जको लागि कार्यान्वयन गरिएको समर्थन, जसले अवस्थित दायराबाट कुनै तत्व वा दायराको अंश मेटाउन अनुमति दिन्छ (पहिले, दायरा मात्र पूर्ण रूपमा मेटाउन सकिन्छ)। उदाहरणका लागि, 25-24 र 30-40, 50, 24-26 र 30-40 दायराहरूको सेट सूचीबाट तत्व 50 हटाएपछि सूचीमा रहनेछ। कर्नेलको 5.10+ स्थिर शाखाहरूको सुधारात्मक विज्ञप्तिमा काम गर्न स्वत: मर्जको लागि आवश्यक फिक्सहरू प्रस्ताव गरिनेछ। # nft सूची नियमहरू तालिका ip x { सेट y { प्रकारको tcp dport फ्ल्याग अन्तराल स्वतः-मर्ज तत्वहरू = { 24-30, 40-50 } } } # nft तत्व मेटाउनुहोस् ip xy { 25 } # nft सूची नियमहरू तालिका ip x { सेट y { प्रकारको tcp dport फ्ल्याग अन्तराल स्वतः मर्ज तत्वहरू = { 24, 26-30, 40-50 } }
सम्पर्क र दायराहरूलाई ठेगाना अनुवाद (NAT) म्यापिङमा प्रयोग गर्न अनुमति दिनुहोस्। तालिका ip nat { चेन prerouting { type nat हुक prerouting priority dstnat; नीति स्वीकार; dnat to ip daddr। tcp dport नक्शा { 10.1.1.136 . ८० : १.१.२.६९ 80, 1.1.2.69-1024। ८८८८-८८८९ : १.१.२.६९ । 10.1.1.10-10.1.1.20 } निरन्तर } }
"अन्तिम" अभिव्यक्तिको लागि समर्थन थपियो, जसले तपाईंलाई नियम तत्व वा सेट सूचीको अन्तिम प्रयोगको समय पत्ता लगाउन अनुमति दिन्छ। यो सुविधा लिनक्स कर्नेल ५.१४ देखि समर्थित छ। तालिका ip x { set y { ip daddr को प्रकार। tcp dport साइज 5.14 फ्ल्याग डायनामिक, टाइमआउट अन्तिम टाइमआउट 65535h } चेन z { प्रकार फिल्टर हुक आउटपुट प्राथमिकता फिल्टर; नीति स्वीकार; अपडेट गर्नुहोस् @y { ip daddr। tcp dport } } } # nft सूची सेट ip xy तालिका ip x { सेट y { प्रकारको ip daddr . tcp dport साइज 1 फ्ल्याग डायनामिक, टाइमआउट अन्तिम टाइमआउट 65535h तत्वहरू = {1। 172.217.17.14 पछिल्लो पटक प्रयोग गरिएको 443s1ms टाइमआउट 591h 1m59s58ms, 409 मा समाप्त हुन्छ। 172.67.69.19 पछिल्लो पटक प्रयोग गरिएको 443s4ms टाइमआउट 636h 1m59s55ms, 364 मा समाप्त हुन्छ। 142.250.201.72 पछिल्लो पटक प्रयोग गरिएको 443s4ms टाइमआउट 748h 1m59s55ms, 252 मा समाप्त हुन्छ। 172.67.70.134 पछिल्लो पटक प्रयोग गरिएको 443s4ms टाइमआउट 688h 1m59s55ms, 312 समाप्त हुन्छ। 35.241.9.150 पछिल्लो पटक प्रयोग गरिएको 443s5ms टाइमआउट 204h 1m59s54ms, 796 मा समाप्त हुन्छ। 138.201.122.174 पछिल्लो पटक प्रयोग गरिएको 443s4ms टाइमआउट 537h 1m59s55ms, 463 मा समाप्त हुन्छ। 34.160.144.191 पछिल्लो पटक प्रयोग गरिएको 443s5ms टाइमआउट 205h 1m59s54ms, 795 मा समाप्त हुन्छ। 130.211.23.194 पछिल्लो पटक प्रयोग गरिएको 443s4ms टाइमआउट 436h 1m59s55ms समाप्त हुन्छ } }
सेट-सूचीहरूमा कोटाहरू परिभाषित गर्ने क्षमता थपियो। उदाहरण को लागी, प्रत्येक लक्षित आईपी ठेगाना को लागी एक ट्राफिक कोटा परिभाषित गर्न को लागी, तपाइँ निर्दिष्ट गर्न सक्नुहुन्छ: तालिका netdev x { सेट y { typeof ip daddr साइज 65535 कोटा 10000 mbytes भन्दा } चेन y { टाइप फिल्टर हुक इग्रेस यन्त्र "eth0" प्राथमिकता फिल्टर; नीति स्वीकार; ip daddr @y drop } } # nft add element inet xy { 8.8.8.8 } # ping -c 2 8.8.8.8 # nft सूची नियम तालिका नेटदेव x {सेट y { प्रकार ipv4_addr आकार 65535 कोटा 10000 mbytes = 8.8.8.8 तत्वहरू। 10000 कोटा 196 mbytes भन्दा बढी प्रयोग गरियो 0 बाइट्स } } चेन y { प्रकार फिल्टर हुक इग्रेस यन्त्र "ethXNUMX" प्राथमिकता फिल्टर; नीति स्वीकार; ip daddr @y drop } }
सेट-सूचीहरूमा स्थिरहरूको प्रयोगलाई अनुमति छ। उदाहरणका लागि, गन्तव्य ठेगाना र VLAN ID को सूची कुञ्जीको रूपमा प्रयोग गर्दा, तपाईंले VLAN नम्बर सिधै निर्दिष्ट गर्न सक्नुहुन्छ (daddr. 123): तालिका netdev t { set s { type of ether saddr। vlan id आकार 2048 फ्ल्याग गतिशील, टाइमआउट टाइमआउट 1m } चेन c { प्रकार फिल्टर हुक प्रवेश उपकरण eth0 प्राथमिकता 0; नीति स्वीकार; ईथर प्रकार != 8021q अपडेट @s { ether daddr . 123 } काउन्टर } }
एउटा नयाँ "destroy" आदेश बिना शर्त वस्तुहरू मेटाउन थपिएको छ (मेटाउने आदेशको विपरीत, हराएको वस्तु मेटाउन प्रयास गर्दा यसले ENOENT उत्पन्न गर्दैन)। काम गर्न कम्तिमा Linux 6.3-rc कर्नेल चाहिन्छ। तालिका आईपी फिल्टर नष्ट गर्नुहोस्

स्रोत: opennet.ru

nftables प्याकेट फिल्टर 1.0.7 रिलीज

एक टिप्पणी थप्न Отменить ответ