د پاکټ فلټر nftables 0.9.9 خپرول خپاره شوي، د IPv4، IPv6، ARP او د شبکې پلونو لپاره د پاکټ فلټر کولو انٹرفیس متحد کول (د iptables، ip6table، arptables او ebtables ځای پرځای کول). په ورته وخت کې، د ملګري کتابتون libnftnl 1.2.0 خپور شوی، د nf_tables فرعي سیسټم سره د تعامل لپاره د ټیټ کچې API چمتو کوي. د کار کولو لپاره د nftables 0.9.9 خوشې کولو لپاره اړین بدلونونه د لینکس کرنل 5.13-rc1 کې شامل دي.
د nftables کڅوړه کې د پاکټ فلټر برخې شاملې دي چې د کارونکي ځای کې پرمخ ځي، پداسې حال کې چې د کرنل کچې کار د nf_tables سب سیسټم لخوا چمتو شوی، کوم چې د 3.13 خوشې کیدو راهیسې د لینکس کرنل برخه ده. د کرنل کچه یوازې یو عمومي پروتوکول - خپلواک انٹرفیس چمتو کوي چې د پاکټونو څخه د ډیټا ایستلو ، د معلوماتو عملیاتو ترسره کولو ، او جریان کنټرول لپاره لومړني دندې چمتو کوي.
د فلټر کولو قواعد او د پروتوکول ځانګړي هینډلرونه د کارونکي ځای کې بایټ کوډ کې تنظیم شوي ، وروسته له دې چې دا بایټ کوډ د Netlink انٹرفیس په کارولو سره کرنل کې بار شوی او په ځانګړي مجازی ماشین کې د BPF (برکلي پاکټ فلټرونو) یادونه کوي په کرنل کې اجرا کیږي. دا طریقه تاسو ته اجازه درکوي د فلټر کولو کوډ اندازه د پام وړ کمه کړئ چې د کرنل په کچه روان دي او د پروتوکولونو سره کار کولو لپاره د پارس کولو قواعد او منطق ټولې دندې د کارونکي ځای کې حرکت کوي.
اصلي نوښتونه:
- د شبکې اډاپټر اړخ ته د جریان وړ پروسس کولو وړتیا پلي شوې ، د 'آفلوډ' بیرغ په کارولو سره فعاله شوې. Flowtable د پاکټ د بیا راستنیدو د لارې د ښه کولو لپاره یو میکانیزم دی، په کوم کې چې د ټولو قواعدو پروسس کولو زنځیرونو بشپړ تیریدل یوازې په لومړي کڅوړه کې پلي کیږي، او په جریان کې نور ټول پاکټونه مستقیم لیږل کیږي. جدول ip ګلوبل { فلو میز f { هوک داخلول لومړیتوب فلټر + 1 وسایل = { lan3, lan0, وان } فلیګ آفلوډ } چین فارورډ {ډول فلټر هک فارورډ لومړیتوب فلټر; پالیسي منل؛ ip پروتوکول { tcp, udp } فلو اضافه @f } زنځیر پوسټ { type nat hook postrouting priority filter; پالیسي منل؛ oifname "وان" ماسکریډ } }
- په میز کې د مالک بیرغ ضمیمه کولو لپاره ملاتړ اضافه شوی ترڅو د پروسې لخوا د میز ځانګړي کارول ډاډمن کړي. کله چې یوه پروسه پای ته ورسیږي، د هغې سره تړلی میز په اوتومات ډول حذف کیږي. د پروسې په اړه معلومات د تبصرې په بڼه د قواعدو ډمپ کې ښودل شوي: جدول ip x {# progname nft flags owner chain y { type filter hook input priority filter; پالیسي منل؛ کاونټر پاکټونه 1 بایټ 309 } }
- د IEEE 802.1ad مشخصاتو (VLAN stacking یا QinQ) لپاره ملاتړ اضافه شوی ، کوم چې په یو واحد ایترنیټ چوکاټ کې د ډیری VLAN ټاګونو ځای په ځای کولو لپاره وسیله ټاکي. د مثال په توګه، د بهرنی ایترنیټ چوکاټ 8021ad او vlan id=342 ډول چک کولو لپاره، تاسو کولی شئ ساختمان وکاروئ ... ایتر ډول 802.1ad vlan id 342 د ایترنیټ چوکاټ 8021ad/vlan id=1، nested 802.1 بهرنۍ ډول چک کولو لپاره. q/vlan id=2 او نور د IP پاکټ encapsulation: ... د ایتر ډول 8021ad vlan id 1 vlan type 8021q vlan id 2 vlan ډول ip counter
- د متحد درجه بندي cgroups v2 په کارولو سره د سرچینو اداره کولو لپاره ملاتړ اضافه شوی. د cgroups v2 او v1 ترمنځ کلیدي توپیر د ټولو ډولونو منابعو لپاره د عام cgroups درجه بندي کارول دي، د CPU سرچینو تخصیص، د حافظې مصرف تنظیم کولو، او I/O لپاره د جلا جلا درجه بندي پرځای. د مثال په توګه، د دې لپاره چې وګورئ چې آیا د ساکټ لرغونتوب په لومړۍ درجه cgroupv2 کې د "system.slice" ماسک سره سمون لري، تاسو کولی شئ ساختمان وکاروئ: ... ساکټ cgroupv2 کچه 1 "system.slice"
- د SCTP پاکټونو اجزا چیک کولو وړتیا اضافه کړه (د دې لپاره اړین فعالیت به د لینکس 5.14 کرنل کې څرګند شي). د مثال په توګه، د دې لپاره چې وګورئ چې په یوه کڅوړه کې د ډول ډول 'ډاټا' او د ساحې 'ډول' سره یوه ټوټه شتون لري: ... د sctp chunk ډاټا شتون لري ... د sctp chunk ډاټا ډول 0
- د قواعدو بارولو عملیات اجرا کول د "-f" بیرغ په کارولو سره نږدې دوه ځله ګړندي شوي. د مقرراتو لیست تولید هم ګړندی شوی.
- د چک کولو لپاره یو تړون فورمه چمتو شوې چې ایا د پرچم بټونه ټاکل شوي دي. د مثال په توګه، د دې لپاره چې وګورئ چې د snat او dnat حالت بټونه نه دي تنظیم شوي، تاسو کولی شئ مشخص کړئ: ... ct status ! snat,dnat د دې لپاره چې وګوري چې syn bit په bitmask syn,ack: ... tcp فلګونه syn/syn,ack د دې لپاره چې وګوري چې fin او rst بټونه په بټماسک syn,ack,fin,rst کې نه دي ټاکل شوي: ... tcp بیرغونه! = فین، لومړی / syn، ack، فین، لومړی
- د سیټ/نقشې ډول تعریفونو کې د "فیصلې" کلیمې ته اجازه ورکړئ: نقشه xm { typeof iifname اضافه کړئ. ip پروتوکول dport: پریکړه؛}
سرچینه: opennet.ru