د nftables 0.9.9 پیکټ فلټر خپور شوی دی. دا د IPv4، IPv6، ARP، او شبکې پلونو لپاره د پیکټ فلټر کولو انٹرفیسونه سره یوځای کوي (د iptables، ip6table، arptables، او ebtables لپاره د بدیل په توګه هدف شوی). د libnftnl 1.2.0 کتابتون سره، کوم چې د nf_tables فرعي سیسټم سره د تعامل لپاره د ټیټې کچې API چمتو کوي، په ورته وخت کې خپور شوی. د nftables 0.9.9 لپاره اړین بدلونونه په کرنل کې شامل شوي دي. Linux 5.13-rc1.
د nftables کڅوړه د پیکټ فلټر اجزا لري چې د کارونکي ځای کې کار کوي، پداسې حال کې چې د کرنل کچې کار د nf_tables فرعي سیسټم لخوا چمتو کیږي، کوم چې د کرنل برخه ده. Linux د ۳.۱۳ خپریدو راهیسې، یوازې د کرنل په کچه یو عمومي پروتوکول خپلواک انٹرفیس چمتو شوی، چې د پاکټونو څخه د معلوماتو استخراج، د معلوماتو عملیاتو ترسره کولو، او د جریان کنټرول لپاره اساسي فعالیت چمتو کوي.
د فلټر کولو قواعد پخپله او د پروتوکول ځانګړي هینډلرونه د کارونکي ځای کې په بایټ کوډ کې تالیف شوي، وروسته له هغه چې دا بایټ کوډ د نیټ لینک انٹرفیس په کارولو سره کرنل ته پورته کیږي او په ځانګړي ډول په کرنل کې اجرا کیږي. مجازی ماشین، د BPF (برکلي پیکټ فلټرونو) یادونه کوي. دا طریقه د کرنل په کچه د چلولو فلټر کولو کوډ اندازې کې د پام وړ کمښت ته اجازه ورکوي او ټول قاعدې تجزیه او پروتوکول منطق د کارونکي ځای ته لیږدوي.
اصلي نوښتونه:
- د شبکې اډاپټر اړخ ته د جریان وړ پروسس کولو وړتیا پلي شوې ، د 'آفلوډ' بیرغ په کارولو سره فعاله شوې. Flowtable د پاکټ د بیا راستنیدو د لارې د ښه کولو لپاره یو میکانیزم دی، په کوم کې چې د ټولو قواعدو پروسس کولو زنځیرونو بشپړ تیریدل یوازې په لومړي کڅوړه کې پلي کیږي، او په جریان کې نور ټول پاکټونه مستقیم لیږل کیږي. جدول ip ګلوبل { فلو میز f { هوک داخلول لومړیتوب فلټر + 1 وسایل = { lan3, lan0, وان } فلیګ آفلوډ } چین فارورډ {ډول فلټر هک فارورډ لومړیتوب فلټر; پالیسي منل؛ ip پروتوکول { tcp, udp } فلو اضافه @f } زنځیر پوسټ { type nat hook postrouting priority filter; پالیسي منل؛ oifname "وان" ماسکریډ } }
- په میز کې د مالک بیرغ ضمیمه کولو لپاره ملاتړ اضافه شوی ترڅو د پروسې لخوا د میز ځانګړي کارول ډاډمن کړي. کله چې یوه پروسه پای ته ورسیږي، د هغې سره تړلی میز په اوتومات ډول حذف کیږي. د پروسې په اړه معلومات د تبصرې په بڼه د قواعدو ډمپ کې ښودل شوي: جدول ip x {# progname nft flags owner chain y { type filter hook input priority filter; پالیسي منل؛ کاونټر پاکټونه 1 بایټ 309 } }
- د IEEE 802.1ad مشخصاتو (VLAN stacking یا QinQ) لپاره ملاتړ اضافه شوی ، کوم چې په یو واحد ایترنیټ چوکاټ کې د ډیری VLAN ټاګونو ځای په ځای کولو لپاره وسیله ټاکي. د مثال په توګه، د بهرنی ایترنیټ چوکاټ 8021ad او vlan id=342 ډول چک کولو لپاره، تاسو کولی شئ ساختمان وکاروئ ... ایتر ډول 802.1ad vlan id 342 د ایترنیټ چوکاټ 8021ad/vlan id=1، nested 802.1 بهرنۍ ډول چک کولو لپاره. q/vlan id=2 او نور د IP پاکټ encapsulation: ... د ایتر ډول 8021ad vlan id 1 vlan type 8021q vlan id 2 vlan ډول ip counter
- د متحد درجه بندي cgroups v2 په کارولو سره د سرچینو اداره کولو لپاره ملاتړ اضافه شوی. د cgroups v2 او v1 ترمنځ کلیدي توپیر د ټولو ډولونو منابعو لپاره د عام cgroups درجه بندي کارول دي، د CPU سرچینو تخصیص، د حافظې مصرف تنظیم کولو، او I/O لپاره د جلا جلا درجه بندي پرځای. د مثال په توګه، د دې لپاره چې وګورئ چې آیا د ساکټ لرغونتوب په لومړۍ درجه cgroupv2 کې د "system.slice" ماسک سره سمون لري، تاسو کولی شئ ساختمان وکاروئ: ... ساکټ cgroupv2 کچه 1 "system.slice"
- Добавлена возможность проверки составных частей пакетов SCTP (необходимая для работы функциональность появится в ядре Linux 5.14). Например, для проверки наличия в пакете chunk-а с типом ‘data’ и полем ‘type’: … sctp chunk data exists … sctp chunk data type 0
- د قواعدو بارولو عملیات اجرا کول د "-f" بیرغ په کارولو سره نږدې دوه ځله ګړندي شوي. د مقرراتو لیست تولید هم ګړندی شوی.
- د چک کولو لپاره یو تړون فورمه چمتو شوې چې ایا د پرچم بټونه ټاکل شوي دي. د مثال په توګه، د دې لپاره چې وګورئ چې د snat او dnat حالت بټونه نه دي تنظیم شوي، تاسو کولی شئ مشخص کړئ: ... ct status ! snat,dnat د دې لپاره چې وګوري چې syn bit په bitmask syn,ack: ... tcp فلګونه syn/syn,ack د دې لپاره چې وګوري چې fin او rst بټونه په بټماسک syn,ack,fin,rst کې نه دي ټاکل شوي: ... tcp بیرغونه! = فین، لومړی / syn، ack، فین، لومړی
- د سیټ/نقشې ډول تعریفونو کې د "فیصلې" کلیمې ته اجازه ورکړئ: نقشه xm { typeof iifname اضافه کړئ. ip پروتوکول dport: پریکړه؛}
سرچینه: opennet.ru
