🥇Nftables 0.9.4 ਪੈਕੇਟ ਫਿਲਟਰ ਰਿਲੀਜ਼

ਪ੍ਰਕਾਸ਼ਿਤ ਪੈਕੇਟ ਫਿਲਟਰ ਰੀਲੀਜ਼ nftables 0.9.4, IPv6, IPv4, ARP ਅਤੇ ਨੈੱਟਵਰਕ ਬ੍ਰਿਜਾਂ ਲਈ ਪੈਕੇਟ ਫਿਲਟਰਿੰਗ ਇੰਟਰਫੇਸਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਕੇ iptables, ip6table, arptables ਅਤੇ ebtables ਦੇ ਬਦਲ ਵਜੋਂ ਵਿਕਸਤ ਕਰਨਾ। nftables ਪੈਕੇਜ ਵਿੱਚ ਪੈਕੇਟ ਫਿਲਟਰ ਭਾਗ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ ਜੋ ਯੂਜ਼ਰ ਸਪੇਸ ਵਿੱਚ ਚੱਲਦੇ ਹਨ, ਜਦੋਂ ਕਿ ਕਰਨਲ-ਪੱਧਰ ਦਾ ਕੰਮ nf_tables ਸਬ-ਸਿਸਟਮ ਦੁਆਰਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ 3.13 ਤੋਂ ਬਾਅਦ ਲੀਨਕਸ ਕਰਨਲ ਦਾ ਹਿੱਸਾ ਰਿਹਾ ਹੈ। ਕੰਮ ਕਰਨ ਲਈ nftables 0.9.4 ਰੀਲੀਜ਼ ਲਈ ਲੋੜੀਂਦੀਆਂ ਤਬਦੀਲੀਆਂ ਨੂੰ ਭਵਿੱਖ ਦੀ ਕਰਨਲ ਸ਼ਾਖਾ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਹੈ। ਲੀਨਿਕਸ 5.6.

ਕਰਨਲ ਪੱਧਰ ਸਿਰਫ਼ ਇੱਕ ਆਮ ਪ੍ਰੋਟੋਕੋਲ-ਸੁਤੰਤਰ ਇੰਟਰਫੇਸ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਜੋ ਪੈਕੇਟਾਂ ਤੋਂ ਡੇਟਾ ਕੱਢਣ, ਡੇਟਾ ਓਪਰੇਸ਼ਨ ਕਰਨ, ਅਤੇ ਪ੍ਰਵਾਹ ਨਿਯੰਤਰਣ ਲਈ ਬੁਨਿਆਦੀ ਫੰਕਸ਼ਨ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਫਿਲਟਰਿੰਗ ਨਿਯਮ ਅਤੇ ਪ੍ਰੋਟੋਕੋਲ-ਵਿਸ਼ੇਸ਼ ਹੈਂਡਲਰ ਯੂਜ਼ਰ ਸਪੇਸ ਵਿੱਚ ਬਾਈਟਕੋਡ ਵਿੱਚ ਕੰਪਾਇਲ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਜਿਸ ਤੋਂ ਬਾਅਦ ਇਸ ਬਾਈਟਕੋਡ ਨੂੰ ਨੈੱਟਲਿੰਕ ਇੰਟਰਫੇਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਰਨਲ ਵਿੱਚ ਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ BPF (ਬਰਕਲੇ ਪੈਕੇਟ ਫਿਲਟਰ) ਦੀ ਯਾਦ ਦਿਵਾਉਂਦੀ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਵਰਚੁਅਲ ਮਸ਼ੀਨ ਵਿੱਚ ਕਰਨਲ ਵਿੱਚ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਪਹੁੰਚ ਤੁਹਾਨੂੰ ਕਰਨਲ ਪੱਧਰ 'ਤੇ ਚੱਲ ਰਹੇ ਫਿਲਟਰਿੰਗ ਕੋਡ ਦੇ ਆਕਾਰ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਘਟਾਉਣ ਅਤੇ ਪ੍ਰੋਟੋਕੋਲ ਨਾਲ ਕੰਮ ਕਰਨ ਲਈ ਪਾਰਸਿੰਗ ਨਿਯਮਾਂ ਅਤੇ ਤਰਕ ਦੇ ਸਾਰੇ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਉਪਭੋਗਤਾ ਸਪੇਸ ਵਿੱਚ ਲਿਜਾਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਮੁੱਖ ਨਵੀਨਤਾਵਾਂ:

ਕਨੈਕਸ਼ਨਾਂ ਵਿੱਚ ਰੇਂਜਾਂ ਲਈ ਸਮਰਥਨ (ਕੰਕਟੇਨੇਸ਼ਨ, ਪਤਿਆਂ ਦੇ ਕੁਝ ਬੰਡਲ ਅਤੇ ਪੋਰਟ ਜੋ ਤੁਲਨਾ ਨੂੰ ਸਰਲ ਬਣਾਉਂਦੇ ਹਨ)। ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਸੈੱਟ "ਵਾਈਟਲਿਸਟ" ਲਈ ਜਿਸਦੇ ਤੱਤ ਇੱਕ ਅਟੈਚਮੈਂਟ ਹਨ, "ਅੰਤਰਾਲ" ਫਲੈਗ ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰਨਾ ਦਰਸਾਏਗਾ ਕਿ ਸੈੱਟ ਅਟੈਚਮੈਂਟ ਵਿੱਚ ਰੇਂਜਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰ ਸਕਦਾ ਹੈ (ਅਟੈਚਮੈਂਟ "ipv4_addr. ipv4_addr. inet_service" ਲਈ ਪਹਿਲਾਂ ਸਹੀ ਸੂਚੀਬੱਧ ਕਰਨਾ ਸੰਭਵ ਸੀ। ਫਾਰਮ "192.168.10.35. 192.68.11.123" ਦੇ ਮੇਲ ਖਾਂਦਾ ਹੈ, ਅਤੇ ਹੁਣ ਤੁਸੀਂ ਪਤਿਆਂ ਦੇ ਸਮੂਹਾਂ ਨੂੰ "80-192.168.10.35-192.168.10.40): ਨਿਰਧਾਰਤ ਕਰ ਸਕਦੇ ਹੋ:
ਸਾਰਣੀ ip foo {
ਵਾਈਟਲਿਸਟ ਸੈੱਟ ਕਰੋ {
ipv4_addr ਟਾਈਪ ਕਰੋ। ipv4_addr. inet_service
ਫਲੈਗ ਅੰਤਰਾਲ
ਤੱਤ = { 192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125. 80}
}

ਚੇਨ ਬਾਰ {
ਟਾਈਪ ਫਿਲਟਰ ਹੁੱਕ ਪ੍ਰੀਰੂਟਿੰਗ ਤਰਜੀਹ ਫਿਲਟਰ; ਨੀਤੀ ਘਟਣਾ;
ਆਈਪੀ ਸਦਰ. ip daddr. tcp dport @whitelist ਸਵੀਕਾਰ ਕਰੋ
}
}
ਸੈੱਟਾਂ ਅਤੇ ਨਕਸ਼ੇ ਸੂਚੀਆਂ ਵਿੱਚ, "typeof" ਨਿਰਦੇਸ਼ਕ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਸੰਭਵ ਹੈ, ਜੋ ਮੇਲ ਖਾਂਦੇ ਸਮੇਂ ਤੱਤ ਦਾ ਫਾਰਮੈਟ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ।
ਉਦਾਹਰਨ ਲਈ:

ਸਾਰਣੀ ip foo {
ਵਾਈਟਲਿਸਟ ਸੈੱਟ ਕਰੋ {
ਆਈਪੀ ਸਦਰ ਦੀ ਕਿਸਮ
ਤੱਤ = {192.168.10.35, 192.168.10.101, 192.168.10.135 }
}

ਚੇਨ ਬਾਰ {
ਟਾਈਪ ਫਿਲਟਰ ਹੁੱਕ ਪ੍ਰੀਰੂਟਿੰਗ ਤਰਜੀਹ ਫਿਲਟਰ; ਨੀਤੀ ਘਟਣਾ;
ip daddr @whitelist ਸਵੀਕਾਰ ਕਰੋ
}
}

ਸਾਰਣੀ ip foo {
ਨਕਸ਼ਾ addr2mark {
ਆਈਪੀ ਸੈਡਰ ਦੀ ਕਿਸਮ: ਮੈਟਾ ਮਾਰਕ
ਤੱਤ = { 192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
}
}
NAT ਬਾਈਡਿੰਗਜ਼ ਵਿੱਚ ਜੋੜਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਯੋਗਤਾ ਸ਼ਾਮਲ ਕੀਤੀ ਗਈ ਹੈ, ਜੋ ਤੁਹਾਨੂੰ ਨਕਸ਼ੇ ਸੂਚੀਆਂ ਜਾਂ ਨਾਮਿਤ ਸੈੱਟਾਂ ਦੇ ਅਧਾਰ ਤੇ NAT ਪਰਿਵਰਤਨ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਨ ਵੇਲੇ ਇੱਕ ਪਤਾ ਅਤੇ ਪੋਰਟ ਨਿਰਧਾਰਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ:
nft ਐਡ ਨਿਯਮ ip nat pre dnat ip addr. ਪੋਰਟ ਤੋਂ ਆਈਪੀ ਸੈਡਰ ਮੈਪ { 1.1.1.1 : 2.2.2.2 . ਤੀਹ }

nft ਨਕਸ਼ੇ ip nat ਟਿਕਾਣੇ ਸ਼ਾਮਲ ਕਰੋ { ਟਾਈਪ ipv4_addr . inet_service: ipv4_addr. inet_service \\; }
nft ਐਡ ਨਿਯਮ ip nat pre dnat ip addr. ਪੋਰਟ ਤੋਂ ਆਈਪੀ ਸੈਡਰ। tcp dport ਨਕਸ਼ਾ @ destinations
ਨੈੱਟਵਰਕ ਕਾਰਡ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਕੁਝ ਫਿਲਟਰਿੰਗ ਓਪਰੇਸ਼ਨਾਂ ਨਾਲ ਹਾਰਡਵੇਅਰ ਪ੍ਰਵੇਗ ਲਈ ਸਮਰਥਨ। ਪ੍ਰਵੇਗ ਨੂੰ ethtool ਉਪਯੋਗਤਾ ("ethtool -K eth0 hw-tc-offload on") ਦੁਆਰਾ ਸਮਰੱਥ ਬਣਾਇਆ ਗਿਆ ਹੈ, ਜਿਸ ਤੋਂ ਬਾਅਦ ਇਸਨੂੰ "ਆਫਲੋਡ" ਫਲੈਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਮੁੱਖ ਚੇਨ ਲਈ nftables ਵਿੱਚ ਕਿਰਿਆਸ਼ੀਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਲੀਨਕਸ ਕਰਨਲ 5.6 ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਸਮੇਂ, ਹਾਰਡਵੇਅਰ ਪ੍ਰਵੇਗ ਨੂੰ ਹੈਡਰ ਫੀਲਡ ਮੈਚਿੰਗ ਅਤੇ ਇਨਕਮਿੰਗ ਇੰਟਰਫੇਸ ਨਿਰੀਖਣ ਲਈ ਪ੍ਰਾਪਤ ਕਰਨ, ਰੱਦ ਕਰਨ, ਡੁਪਲੀਕੇਟਿੰਗ (ਡੁਪਲੀਕੇਟਿੰਗ) ਅਤੇ ਫਾਰਵਰਡਿੰਗ (fwd) ਪੈਕੇਟਾਂ ਦੇ ਸੁਮੇਲ ਵਿੱਚ ਸਮਰਥਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਹੇਠਾਂ ਦਿੱਤੀ ਉਦਾਹਰਨ ਵਿੱਚ, 192.168.30.20 ਪਤੇ ਤੋਂ ਆਉਣ ਵਾਲੇ ਪੈਕੇਟਾਂ ਨੂੰ ਛੱਡਣ ਦੇ ਕੰਮ ਨੈੱਟਵਰਕ ਕਾਰਡ ਪੱਧਰ 'ਤੇ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਪੈਕਟਾਂ ਨੂੰ ਕਰਨਲ ਨੂੰ ਪਾਸ ਕੀਤੇ ਬਿਨਾਂ:
# cat file.nft
ਟੇਬਲ netdev x {
ਚੇਨ y {
ਟਾਈਪ ਫਿਲਟਰ ਹੁੱਕ ਇਨਗਰੇਸ ਡਿਵਾਈਸ eth0 ਤਰਜੀਹ 10; ਫਲੈਗ ਆਫਲੋਡ;
ਆਈਪੀ ਸਦਰ 192.168.30.20 ਡਰਾਪ
}
}
# nft -f file.nft
ਨਿਯਮਾਂ ਵਿੱਚ ਗਲਤੀ ਦੇ ਸਥਾਨ ਬਾਰੇ ਜਾਣਕਾਰੀ ਵਿੱਚ ਸੁਧਾਰ ਕੀਤਾ ਗਿਆ ਹੈ।
# nft ਡਿਲੀਟ ਨਿਯਮ ip yz ਹੈਂਡਲ 7
ਗਲਤੀ: ਨਿਯਮ ਦੀ ਪ੍ਰਕਿਰਿਆ ਨਹੀਂ ਕੀਤੀ ਜਾ ਸਕੀ: ਅਜਿਹੀ ਕੋਈ ਫਾਈਲ ਜਾਂ ਡਾਇਰੈਕਟਰੀ ਨਹੀਂ
ਨਿਯਮ ip yz ਹੈਂਡਲ 7 ਨੂੰ ਮਿਟਾਓ
^

# nft ਡਿਲੀਟ ਨਿਯਮ ip xx ਹੈਂਡਲ 7
ਗਲਤੀ: ਨਿਯਮ ਦੀ ਪ੍ਰਕਿਰਿਆ ਨਹੀਂ ਕੀਤੀ ਜਾ ਸਕੀ: ਅਜਿਹੀ ਕੋਈ ਫਾਈਲ ਜਾਂ ਡਾਇਰੈਕਟਰੀ ਨਹੀਂ
ਨਿਯਮ ip xx ਹੈਂਡਲ 7 ਨੂੰ ਮਿਟਾਓ
^

# nft ਟੇਬਲ twst ਮਿਟਾਓ
ਗਲਤੀ: ਅਜਿਹੀ ਕੋਈ ਫਾਈਲ ਜਾਂ ਡਾਇਰੈਕਟਰੀ ਨਹੀਂ; ਕੀ ਤੁਹਾਡਾ ਮਤਲਬ ਫੈਮਿਲੀ ਆਈਪੀ ਵਿੱਚ ਟੇਬਲ 'ਟੈਸਟ' ਤੋਂ ਹੈ?
ਟੇਬਲ twst ਨੂੰ ਮਿਟਾਓ
^^^^

ਪਹਿਲੀ ਉਦਾਹਰਨ ਦਿਖਾਉਂਦਾ ਹੈ ਕਿ ਟੇਬਲ “y” ਸਿਸਟਮ ਵਿੱਚ ਨਹੀਂ ਹੈ, ਦੂਜੀ ਕਿ “7” ਹੈਂਡਲਰ ਗੁੰਮ ਹੈ, ਅਤੇ ਤੀਜੀ ਕਿ ਟੇਬਲ ਦਾ ਨਾਮ ਟਾਈਪ ਕਰਨ ਵੇਲੇ ਇੱਕ ਟਾਈਪੋ ਪ੍ਰੋਂਪਟ ਪ੍ਰਦਰਸ਼ਿਤ ਹੁੰਦਾ ਹੈ।
"meta sdif" ਜਾਂ "meta sdifname" ਨਿਸ਼ਚਿਤ ਕਰਕੇ ਸਲੇਵ ਇੰਟਰਫੇਸ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਸਮਰਥਨ ਜੋੜਿਆ ਗਿਆ:
... meta sdifname vrf1 ...
ਸੱਜੇ ਜਾਂ ਖੱਬੇ ਸ਼ਿਫਟ ਓਪਰੇਸ਼ਨਾਂ ਲਈ ਸਮਰਥਨ ਜੋੜਿਆ ਗਿਆ। ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਮੌਜੂਦਾ ਪੈਕੇਟ ਲੇਬਲ ਨੂੰ 1 ਬਿੱਟ ਤੱਕ ਛੱਡਣ ਲਈ ਅਤੇ ਮਾਮੂਲੀ ਬਿੱਟ ਨੂੰ 1 'ਤੇ ਸੈੱਟ ਕਰਨ ਲਈ:
… ਮੈਟਾ ਮਾਰਕ ਸੈੱਟ ਮੈਟਾ ਮਾਰਕ lshift 1 ਜਾਂ 0x1 …
ਵਿਸਤ੍ਰਿਤ ਸੰਸਕਰਣ ਜਾਣਕਾਰੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ "-V" ਵਿਕਲਪ ਲਾਗੂ ਕੀਤਾ ਗਿਆ।
# nft -V
nftables v0.9.4 (ਜੀਵ ਐਟ ਫਾਈਵ)
cli: ਰੀਡਲਾਈਨ
ਜੇਸਨ: ਹਾਂ
minigmp: no
libxtables: ਹਾਂ
ਕਮਾਂਡ ਲਾਈਨ ਵਿਕਲਪ ਹੁਣ ਕਮਾਂਡਾਂ ਤੋਂ ਪਹਿਲਾਂ ਨਿਰਧਾਰਤ ਕੀਤੇ ਜਾਣੇ ਚਾਹੀਦੇ ਹਨ। ਉਦਾਹਰਨ ਲਈ, ਤੁਹਾਨੂੰ "nft -a list ruleset" ਨੂੰ ਨਿਰਧਾਰਿਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਅਤੇ "nft list ruleset -a" ਨੂੰ ਚਲਾਉਣ ਨਾਲ ਇੱਕ ਗਲਤੀ ਹੋਵੇਗੀ।

ਸਰੋਤ: opennet.ru

nftables ਪੈਕੇਟ ਫਿਲਟਰ 0.9.4 ਰੀਲੀਜ਼

ਇੱਕ ਟਿੱਪਣੀ ਜੋੜੋ Отменить ответ