ProHoster > بلاګ > انټرنیټ خبرونه > د nftables پاکټ فلټر 1.0.2 خوشې کول

د nftables پاکټ فلټر 1.0.2 خوشې کول

د پیکټ فلټر nftables 1.0.2 خپرول خپاره شوي، د IPv4، IPv6، ARP او د شبکې پلونو لپاره د پاکټ فلټر کولو انٹرفیس متحد کول (د iptables، ip6table، arptables او ebtables ځای پرځای کول). د کار کولو لپاره د nftables 1.0.2 خوشې کولو لپاره اړین بدلونونه د لینکس کرنل 5.17-rc کې شامل دي.

د nftables کڅوړه کې د پاکټ فلټر برخې شاملې دي چې د کارونکي ځای کې پرمخ ځي، پداسې حال کې چې د کرنل کچې کار د nf_tables سب سیسټم لخوا چمتو شوی، کوم چې د 3.13 خوشې کیدو راهیسې د لینکس کرنل برخه ده. د کرنل کچه یوازې یو عمومي پروتوکول - خپلواک انٹرفیس چمتو کوي چې د پاکټونو څخه د ډیټا ایستلو ، د معلوماتو عملیاتو ترسره کولو ، او جریان کنټرول لپاره لومړني دندې چمتو کوي.

د فلټر کولو قواعد او د پروتوکول ځانګړي هینډلرونه د کارونکي ځای کې بایټ کوډ کې تنظیم شوي ، وروسته له دې چې دا بایټ کوډ د Netlink انٹرفیس په کارولو سره کرنل کې بار شوی او په ځانګړي مجازی ماشین کې د BPF (برکلي پاکټ فلټرونو) یادونه کوي په کرنل کې اجرا کیږي. دا طریقه تاسو ته اجازه درکوي د فلټر کولو کوډ اندازه د پام وړ کمه کړئ چې د کرنل په کچه روان دي او د پروتوکولونو سره کار کولو لپاره د پارس کولو قواعد او منطق ټولې دندې د کارونکي ځای کې حرکت کوي.

اصلي نوښتونه:

  • د قواعدو اصلاح کولو حالت اضافه شوی، د نوي "-o" ("--optimize") اختیار په کارولو سره فعال شوی، کوم چې د "--check" اختیار سره یوځای کیدی شي ترڅو د قواعدو فایل کې بدلونونه چک او اصلاح کړي پرته له دې چې واقعیا یې پورته کړي. . اصلاح کول تاسو ته اجازه درکوي چې ورته مقررات سره یوځای کړئ، د بیلګې په توګه، مقررات: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 مني meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 مني ip daddr.1.1.1.1. .2.2.2.2 د ip saddr قبول کړئ 2.2.2.2 ip daddr 3.3.3.3 drop

    په میټا iifname کې به یوځای شي. ip saddr. ip daddr {eth1 . 1.1.1.1. 2.2.2.3، اخلاق1. 1.1.1.2. 2.2.2.5 } ip saddr ومنه ip daddr vmap { 1.1.1.1 . 2.2.2.2: منل، 2.2.2.2. 3.3.3.3 : غورځول }

    د کارونې بېلګه: # nft -c -o -f ruleset.test یوځای کول: ruleset.nft:16:3-37: ip daddr 192.168.0.1 counter accept ruleset.nft:17:3-37: ip daddr 192.168.0.2 counter accept ruleset.nft:18:3-37: ip daddr 192.168.0.3 کاونټر په دې کې منل: ip daddr {192.168.0.1, 192.168.0.2, 192.168.0.3 } کاونټر پاکټونه 0 بایټ 0 مني

  • سیټ لیستونه د ip او tcp اختیارونو مشخص کولو وړتیا پلي کوي ، په بیله بیا د sctp ټوټې: set s5 { typeof ip option ra value عناصر = { 1, 1024 } } set s7 { type of sctp chunk init num-inbound-streams عناصر = { 1.
  • د TCP اختیارونو فاسټوپین ، md5sig او mptcp لپاره ملاتړ اضافه شوی.
  • په نقشه کې د mp-tcp فرعي ډول کارولو لپاره ملاتړ اضافه شوی: tcp اختیار mptcp فرعي ډول 1
  • د کرنل اړخ فلټر کولو کوډ ښه شوی.
  • Flowtable اوس د JSON فارمیټ لپاره بشپړ ملاتړ لري.
  • د ایترنیټ چوکاټ میچ کولو عملیاتو کې د "رد" عمل کارولو وړتیا چمتو شوې. ether saddr aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 رد

سرچینه: opennet.ru

Add a comment