nftables ਪੈਕੇਟ ਫਿਲਟਰ 0.9.1 ਰੀਲੀਜ਼

ਵਿਕਾਸ ਦੇ ਇੱਕ ਸਾਲ ਬਾਅਦ ਪੇਸ਼ ਕੀਤਾ ਪੈਕੇਟ ਫਿਲਟਰ ਰੀਲੀਜ਼ nftables 0.9.1, IPv6, IPv4, ARP ਅਤੇ ਨੈੱਟਵਰਕ ਬ੍ਰਿਜਾਂ ਲਈ ਪੈਕੇਟ ਫਿਲਟਰਿੰਗ ਇੰਟਰਫੇਸਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਕੇ iptables, ip6table, arptables ਅਤੇ ebtables ਦੇ ਬਦਲ ਵਜੋਂ ਵਿਕਸਤ ਕਰਨਾ। nftables ਪੈਕੇਜ ਵਿੱਚ ਪੈਕੇਟ ਫਿਲਟਰ ਭਾਗ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ ਜੋ ਯੂਜ਼ਰ ਸਪੇਸ ਵਿੱਚ ਚੱਲਦੇ ਹਨ, ਜਦੋਂ ਕਿ ਕਰਨਲ-ਪੱਧਰ ਦਾ ਕੰਮ nf_tables ਸਬ-ਸਿਸਟਮ ਦੁਆਰਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ 3.13 ਤੋਂ ਬਾਅਦ ਲੀਨਕਸ ਕਰਨਲ ਦਾ ਹਿੱਸਾ ਰਿਹਾ ਹੈ।

ਕਰਨਲ ਪੱਧਰ ਸਿਰਫ਼ ਇੱਕ ਆਮ ਪ੍ਰੋਟੋਕੋਲ-ਸੁਤੰਤਰ ਇੰਟਰਫੇਸ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਜੋ ਪੈਕੇਟਾਂ ਤੋਂ ਡੇਟਾ ਕੱਢਣ, ਡੇਟਾ ਓਪਰੇਸ਼ਨ ਕਰਨ, ਅਤੇ ਪ੍ਰਵਾਹ ਨਿਯੰਤਰਣ ਲਈ ਬੁਨਿਆਦੀ ਫੰਕਸ਼ਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
ਫਿਲਟਰਿੰਗ ਤਰਕ ਖੁਦ ਅਤੇ ਪ੍ਰੋਟੋਕੋਲ-ਵਿਸ਼ੇਸ਼ ਹੈਂਡਲਰ ਉਪਭੋਗਤਾ ਸਪੇਸ ਵਿੱਚ ਬਾਈਟਕੋਡ ਵਿੱਚ ਕੰਪਾਇਲ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਜਿਸ ਤੋਂ ਬਾਅਦ ਇਸ ਬਾਈਟਕੋਡ ਨੂੰ ਨੈੱਟਲਿੰਕ ਇੰਟਰਫੇਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਰਨਲ ਵਿੱਚ ਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ BPF (ਬਰਕਲੇ ਪੈਕੇਟ ਫਿਲਟਰ) ਦੀ ਯਾਦ ਦਿਵਾਉਂਦੀ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਵਿੱਚ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਪਹੁੰਚ ਤੁਹਾਨੂੰ ਕਰਨਲ ਪੱਧਰ 'ਤੇ ਚੱਲ ਰਹੇ ਫਿਲਟਰਿੰਗ ਕੋਡ ਦੇ ਆਕਾਰ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਘਟਾਉਣ ਅਤੇ ਪ੍ਰੋਟੋਕੋਲ ਨਾਲ ਕੰਮ ਕਰਨ ਲਈ ਪਾਰਸਿੰਗ ਨਿਯਮਾਂ ਅਤੇ ਤਰਕ ਦੇ ਸਾਰੇ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਉਪਭੋਗਤਾ ਸਪੇਸ ਵਿੱਚ ਲਿਜਾਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਮੁੱਖ ਨਵੀਨਤਾਵਾਂ:

• IPsec ਸਮਰਥਨ, ਪੈਕੇਟ, IPsec ਬੇਨਤੀ ID, ਅਤੇ SPI (ਸੁਰੱਖਿਆ ਪੈਰਾਮੀਟਰ ਸੂਚਕਾਂਕ) ਟੈਗ ਦੇ ਅਧਾਰ ਤੇ ਸੁਰੰਗ ਪਤਿਆਂ ਦੇ ਮੇਲ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਉਦਾਹਰਣ ਲਈ,

  ... ਆਈਪੀ ਸਦਰ 192.168.1.0/24 ਵਿੱਚ ipsec
  ... ipsec in spi 1-65536

  ਇਹ ਜਾਂਚ ਕਰਨਾ ਵੀ ਸੰਭਵ ਹੈ ਕਿ ਕੀ ਕੋਈ ਰਸਤਾ IPsec ਸੁਰੰਗ ਵਿੱਚੋਂ ਲੰਘਦਾ ਹੈ ਜਾਂ ਨਹੀਂ। ਉਦਾਹਰਨ ਲਈ, ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੋਕਣ ਲਈ IPSec ਦੁਆਰਾ ਨਹੀਂ:

  … ਫਿਲਟਰ ਆਉਟਪੁੱਟ rt ipsec ਗੁੰਮ ਬੂੰਦ

• IGMP (ਇੰਟਰਨੈਟ ਗਰੁੱਪ ਮੈਨੇਜਮੈਂਟ ਪ੍ਰੋਟੋਕੋਲ) ਲਈ ਸਮਰਥਨ। ਉਦਾਹਰਨ ਲਈ, ਤੁਸੀਂ ਆਉਣ ਵਾਲੇ IGMP ਸਮੂਹ ਮੈਂਬਰਸ਼ਿਪ ਬੇਨਤੀਆਂ ਨੂੰ ਰੱਦ ਕਰਨ ਲਈ ਇੱਕ ਨਿਯਮ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ

  nft ਨਿਯਮ ਜੋੜੋ netdev foo ਬਾਰ igmp ਕਿਸਮ ਮੈਂਬਰਸ਼ਿਪ-ਕਵੇਰੀ ਕਾਊਂਟਰ ਡਰਾਪ

• ਪਰਿਵਰਤਨ ਚੇਨਾਂ (ਜੰਪ / ਗੋਟੋ) ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਨ ਲਈ ਵੇਰੀਏਬਲ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ। ਉਦਾਹਰਣ ਲਈ:

  dest = ber ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰੋ
  ਨਿਯਮ ip foo ਬਾਰ ਜੰਪ $dest ਸ਼ਾਮਲ ਕਰੋ

• ਸਿਰਲੇਖ ਵਿੱਚ TTL ਮੁੱਲਾਂ ਦੇ ਆਧਾਰ 'ਤੇ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ (OS ਫਿੰਗਰਪ੍ਰਿੰਟ) ਦੀ ਪਛਾਣ ਕਰਨ ਲਈ ਮਾਸਕ ਲਈ ਸਮਰਥਨ। ਉਦਾਹਰਨ ਲਈ, ਭੇਜਣ ਵਾਲੇ OS ਦੇ ਆਧਾਰ 'ਤੇ ਪੈਕੇਟਾਂ ਨੂੰ ਮਾਰਕ ਕਰਨ ਲਈ, ਤੁਸੀਂ ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ:

  ... ਮੈਟਾ ਮਾਰਕ ਸੈੱਟ osf ttl ਛੱਡੋ ਨਾਮ ਨਕਸ਼ਾ { "ਲੀਨਕਸ" : 0x1,
  "ਵਿੰਡੋਜ਼": 0x2,
  "MacOS": 0x3,
  "ਅਣਜਾਣ" : 0x0 }
  ... osf ttl ਛੱਡੋ ਵਰਜਨ "ਲੀਨਕਸ: 4.20"

• ਭੇਜਣ ਵਾਲੇ ਦੇ ਏਆਰਪੀ ਪਤੇ ਅਤੇ ਟਾਰਗੇਟ ਸਿਸਟਮ ਦੇ IPv4 ਪਤੇ ਨਾਲ ਮੇਲ ਕਰਨ ਦੀ ਸਮਰੱਥਾ। ਉਦਾਹਰਨ ਲਈ, 192.168.2.1 ਪਤੇ ਤੋਂ ਭੇਜੇ ਗਏ ARP ਪੈਕੇਟਾਂ ਦੇ ਕਾਊਂਟਰ ਨੂੰ ਵਧਾਉਣ ਲਈ, ਤੁਸੀਂ ਨਿਯਮ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ:

  ਸਾਰਣੀ arp x {
  ਚੇਨ y {
  ਟਾਈਪ ਫਿਲਟਰ ਹੁੱਕ ਇੰਪੁੱਟ ਤਰਜੀਹ ਫਿਲਟਰ; ਨੀਤੀ ਸਵੀਕਾਰ;
  ਏਆਰਪੀ ਸੈਡਰ ਆਈਪੀ 192.168.2.1 ਕਾਊਂਟਰ ਪੈਕੇਟ 1 ਬਾਈਟ 46
  }
  }

• ਪ੍ਰੌਕਸੀ (tproxy) ਰਾਹੀਂ ਬੇਨਤੀਆਂ ਦੇ ਪਾਰਦਰਸ਼ੀ ਅੱਗੇ ਭੇਜਣ ਲਈ ਸਮਰਥਨ। ਉਦਾਹਰਨ ਲਈ, ਕਾਲਾਂ ਨੂੰ ਪੋਰਟ 80 ਤੋਂ ਪ੍ਰੌਕਸੀ ਪੋਰਟ 8080 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਲਈ:

  ਸਾਰਣੀ ip x {
  ਚੇਨ y {
  ਟਾਈਪ ਫਿਲਟਰ ਹੁੱਕ ਪ੍ਰੀਰੂਟਿੰਗ ਤਰਜੀਹ -150; ਨੀਤੀ ਸਵੀਕਾਰ;
  tcp dport 80 tproxy to :8080
  }
  }

• SO_MARK ਮੋਡ ਵਿੱਚ setsockopt() ਦੁਆਰਾ ਸੈੱਟ ਮਾਰਕ ਨੂੰ ਹੋਰ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਵਾਲੇ ਸਾਕਟਾਂ ਨੂੰ ਮਾਰਕਿੰਗ ਲਈ ਸਮਰਥਨ। ਉਦਾਹਰਣ ਲਈ:

  ਟੇਬਲ inet x {
  ਚੇਨ y {
  ਟਾਈਪ ਫਿਲਟਰ ਹੁੱਕ ਪ੍ਰੀਰੂਟਿੰਗ ਤਰਜੀਹ -150; ਨੀਤੀ ਸਵੀਕਾਰ;
  tcp dport 8080 ਮਾਰਕ ਸੈੱਟ ਸਾਕਟ ਮਾਰਕ
  }
  }

• ਚੇਨਾਂ ਲਈ ਤਰਜੀਹੀ ਟੈਕਸਟ ਨਾਮ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਸਮਰਥਨ। ਉਦਾਹਰਣ ਲਈ:

  nft ਜੋੜੋ ਚੇਨ ip x raw { ਟਾਈਪ ਫਿਲਟਰ ਹੁੱਕ prerouting priority raw; }
  nft ਚੇਨ ਸ਼ਾਮਲ ਕਰੋ ip x ਫਿਲਟਰ { ਟਾਈਪ ਫਿਲਟਰ ਹੁੱਕ ਪ੍ਰੀਰੂਟਿੰਗ ਤਰਜੀਹ ਫਿਲਟਰ; }
  nft ਚੇਨ ਸ਼ਾਮਲ ਕਰੋ ip x filter_later { ਟਾਈਪ ਫਿਲਟਰ ਹੁੱਕ ਪ੍ਰੀਰੂਟਿੰਗ ਤਰਜੀਹ ਫਿਲਟਰ + 10; }

• SELinux ਟੈਗਸ (ਸੇਕਮਾਰਕ) ਲਈ ਸਮਰਥਨ। ਉਦਾਹਰਨ ਲਈ, SELinux ਸੰਦਰਭ ਵਿੱਚ "sshtag" ਟੈਗ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਨ ਲਈ, ਤੁਸੀਂ ਚਲਾ ਸਕਦੇ ਹੋ:

  nft secmark inet ਫਿਲਟਰ sshtag "system_u:object_r:ssh_server_packet_t:s0" ਸ਼ਾਮਲ ਕਰੋ

  ਅਤੇ ਫਿਰ ਨਿਯਮਾਂ ਵਿੱਚ ਇਸ ਲੇਬਲ ਦੀ ਵਰਤੋਂ ਕਰੋ:

  nft ਨਿਯਮ ਇਨੇਟ ਫਿਲਟਰ ਇਨਪੁਟ tcp dport 22 ਮੈਟਾ ਸੈਕਮਾਰਕ ਸੈੱਟ “sshtag” ਸ਼ਾਮਲ ਕਰੋ

  nft ਮੈਪ ਇਨੇਟ ਫਿਲਟਰ ਸੇਕਮੈਪਿੰਗ ਜੋੜੋ { ਟਾਈਪ inet_service : secmark; }
  nft ਐਲੀਮੈਂਟ ਇਨੇਟ ਫਿਲਟਰ ਸੇਕਮੈਪਿੰਗ ਸ਼ਾਮਲ ਕਰੋ {22 : "sshtag" }
  nft ਨਿਯਮ ਸ਼ਾਮਲ ਕਰੋ inet ਫਿਲਟਰ ਇਨਪੁਟ ਮੈਟਾ ਸੈਕਮਾਰਕ ਸੈਟ tcp dport ਨਕਸ਼ਾ @secmapping

• ਟੈਕਸਟ ਫਾਰਮ ਵਿੱਚ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਨਿਰਧਾਰਤ ਪੋਰਟਾਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਦੀ ਸਮਰੱਥਾ, ਜਿਵੇਂ ਕਿ ਉਹਨਾਂ ਨੂੰ /etc/services ਫਾਈਲ ਵਿੱਚ ਪਰਿਭਾਸ਼ਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਉਦਾਹਰਣ ਲਈ:

  nft ਨਿਯਮ xy tcp dport "ssh" ਸ਼ਾਮਲ ਕਰੋ
  nft ਸੂਚੀ ਨਿਯਮ-ਐਲ
  ਸਾਰਣੀ x {
  ਚੇਨ y {
  ...
  tcp dport "ssh"
  }
  }

• ਨੈੱਟਵਰਕ ਇੰਟਰਫੇਸ ਦੀ ਕਿਸਮ ਦੀ ਜਾਂਚ ਕਰਨ ਦੀ ਸਮਰੱਥਾ. ਉਦਾਹਰਣ ਲਈ:

  ਨਿਯਮ inet raw prerouting meta iifkind "vrf" ਸਵੀਕਾਰ ਸ਼ਾਮਲ ਕਰੋ

• "ਡਾਇਨਾਮਿਕ" ਫਲੈਗ ਨੂੰ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਨਿਰਧਾਰਤ ਕਰਕੇ ਸੈੱਟਾਂ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਅੱਪਡੇਟ ਕਰਨ ਲਈ ਸੁਧਾਰਿਆ ਸਮਰਥਨ। ਉਦਾਹਰਨ ਲਈ, ਸਰੋਤ ਪਤੇ ਨੂੰ ਜੋੜਨ ਲਈ ਸੈੱਟ "s" ਨੂੰ ਅੱਪਡੇਟ ਕਰਨ ਅਤੇ 30 ਸਕਿੰਟਾਂ ਲਈ ਕੋਈ ਪੈਕੇਟ ਨਾ ਹੋਣ 'ਤੇ ਐਂਟਰੀ ਰੀਸੈਟ ਕਰਨ ਲਈ:

  ਟੇਬਲ x ਸ਼ਾਮਲ ਕਰੋ
  ਸੈੱਟ xs ਸ਼ਾਮਲ ਕਰੋ {ਟਾਈਪ ipv4_addr; ਆਕਾਰ 128; ਸਮਾਂ ਸਮਾਪਤ 30s; ਝੰਡੇ ਗਤੀਸ਼ੀਲ; }
  ਚੇਨ xy ਜੋੜੋ { ਟਾਈਪ ਫਿਲਟਰ ਹੁੱਕ ਇੰਪੁੱਟ ਤਰਜੀਹ 0; }
  ਨਿਯਮ xy ਅੱਪਡੇਟ @s { ip saddr } ਸ਼ਾਮਲ ਕਰੋ

• ਇੱਕ ਵੱਖਰੀ ਸਮਾਂ ਸਮਾਪਤੀ ਸਥਿਤੀ ਸੈਟ ਕਰਨ ਦੀ ਸਮਰੱਥਾ। ਉਦਾਹਰਨ ਲਈ, ਪੋਰਟ 8888 'ਤੇ ਆਉਣ ਵਾਲੇ ਪੈਕੇਟਾਂ ਲਈ ਡਿਫੌਲਟ ਟਾਈਮਆਉਟ ਨੂੰ ਓਵਰਰਾਈਡ ਕਰਨ ਲਈ, ਤੁਸੀਂ ਨਿਸ਼ਚਿਤ ਕਰ ਸਕਦੇ ਹੋ:

  ਟੇਬਲ ਆਈਪੀ ਫਿਲਟਰ {
  ct ਸਮਾਂ ਸਮਾਪਤ ਹਮਲਾਵਰ-tcp {
  ਪ੍ਰੋਟੋਕੋਲ tcp;
  l3proto ip;
  ਨੀਤੀ = {ਸਥਾਪਿਤ: 100, ਬੰਦ_ਉਡੀਕ: 4, ਬੰਦ ਕਰੋ: 4}
  }
  ਚੇਨ ਆਉਟਪੁੱਟ {
  ...
  tcp dport 8888 ct ਟਾਈਮਆਉਟ ਸੈੱਟ "ਅਗਰੈਸਿਵ-ਟੀਸੀਪੀ"
  }
  }

• ਇਨੇਟ ਪਰਿਵਾਰ ਲਈ NAT ਸਹਾਇਤਾ:

  ਟੇਬਲ inet nat {
  ...
  ip6 daddr dead::2::1 dnat to dead:2::99
  }

• ਸੁਧਾਰੀ ਹੋਈ ਟਾਈਪੋ ਗਲਤੀ ਰਿਪੋਰਟਿੰਗ:

  nft ਚੇਨ ਫਿਲਟਰ ਟੈਸਟ ਸ਼ਾਮਲ ਕਰੋ

  ਗਲਤੀ: ਅਜਿਹੀ ਕੋਈ ਫਾਈਲ ਜਾਂ ਡਾਇਰੈਕਟਰੀ ਨਹੀਂ; ਕੀ ਤੁਹਾਡਾ ਮਤਲਬ ਫੈਮਿਲੀ ਆਈਪੀ ਵਿੱਚ ਟੇਬਲ "ਫਿਲਟਰ" ਹੈ?
  ਚੇਨ ਫਿਲਟਰ ਟੈਸਟ ਸ਼ਾਮਲ ਕਰੋ
  ^^^^^^

• ਸੈੱਟਾਂ ਵਿੱਚ ਇੰਟਰਫੇਸ ਨਾਮ ਨਿਰਧਾਰਤ ਕਰਨ ਦੀ ਸਮਰੱਥਾ:

  ਸੈੱਟ sc {
  inet_service ਟਾਈਪ ਕਰੋ। ifname
  ਤੱਤ = { "ssh" . "eth0" }
  }

• ਅੱਪਡੇਟ ਕੀਤਾ ਫਲੋਟੇਬਲ ਨਿਯਮ ਸੰਟੈਕਸ:

  nft ਟੇਬਲ ਐਕਸ ਸ਼ਾਮਲ ਕਰੋ
  nft ਐਡ ਫਲੋਟੇਬਲ x ft { ਹੁੱਕ ਇੰਗ੍ਰੇਸ ਪ੍ਰਾਥਮਿਕਤਾ 0; ਡਿਵਾਈਸਾਂ = {eth0, wlan0 }; }
  ...
  nft ਨਿਯਮ x ਫਾਰਵਰਡ ਆਈਪੀ ਪ੍ਰੋਟੋਕੋਲ { tcp, udp } ਫਲੋ ਐਡ @ft

• ਸੁਧਾਰਿਆ ਗਿਆ JSON ਸਮਰਥਨ।

ਸਰੋਤ: opennet.ru