ProHoster > بلاګ > انټرنیټ خبرونه > د nftables پاکټ فلټر 1.0.6 خوشې کول

د nftables پاکټ فلټر 1.0.6 خوشې کول

د پاکټ فلټر nftables 1.0.6 خپرول خپاره شوي، د IPv4، IPv6، ARP او شبکې پلونو لپاره د پاکټ فلټر کولو انٹرفیس متحد کول (د iptables، ip6table، arptables او ebtables ځای پرځای کول). د nftables کڅوړه کې د پاکټ فلټر برخې شاملې دي چې د کارونکي ځای کې پرمخ ځي، پداسې حال کې چې د کرنل کچې کار د nf_tables سب سیسټم لخوا چمتو شوی، کوم چې د 3.13 خوشې کیدو راهیسې د لینکس کرنل برخه ده. د کرنل کچه یوازې یو عمومي پروتوکول - خپلواک انٹرفیس چمتو کوي چې د پاکټونو څخه د ډیټا ایستلو ، د معلوماتو عملیاتو ترسره کولو ، او جریان کنټرول لپاره لومړني دندې چمتو کوي.

د فلټر کولو قواعد او د پروتوکول ځانګړي هینډلرونه د کارونکي ځای کې بایټ کوډ کې تنظیم شوي ، وروسته له دې چې دا بایټ کوډ د Netlink انٹرفیس په کارولو سره کرنل کې بار شوی او په ځانګړي مجازی ماشین کې د BPF (برکلي پاکټ فلټرونو) یادونه کوي په کرنل کې اجرا کیږي. دا طریقه تاسو ته اجازه درکوي د فلټر کولو کوډ اندازه د پام وړ کمه کړئ چې د کرنل په کچه روان دي او د پروتوکولونو سره کار کولو لپاره د پارس کولو قواعد او منطق ټولې دندې د کارونکي ځای کې حرکت کوي.

اصلي بدلونونه:

  • د قواعدو اصلاح کوونکی، کله چې د "-o/—غوره کولو" اختیار مشخص شوی وي په نوم یادیږي، د قواعدو اتوماتیک بسته بندي لري د دوی سره یوځای کولو او په نقشه او لیستونو کې بدلولو سره. د مثال په توګه، قواعد # cat ruleset.nft جدول ip x { چین y { ټایپ فلټر هک ان پټ لومړیتوب فلټر؛ د پالیسۍ کمښت میټا iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 مني میټا iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4 مني meta iifname eth1 ip saddr 1.1.1.2 ip2.2.3.0 daddr 24 ip1 daddr 1.1.1.2.if2.2.4.0 مني ۱.۱ .2.2.4.10 ip daddr 2-1.1.1.3 د میټا iifname eth2.2.2.5 ip saddr 4 ip daddr 17 مني } } د "nft -o -c -f ruleset.nft" اجرا کولو وروسته به په لاندې ډول بدل شي: nft:74:1-1.1.1.1: meta iifname eth2.2.2.3 ip daddr 5 ip daddr 17 accept ruleset.nft:74:1-1.1.1.2: meta iifname eth2.2.2.4 ip saddr 6 ip daddr 17 قواعد مني. : 77:1-1.1.1.2: meta iifname eth2.2.3.0 ip saddr 24 ip daddr 7/17 accept ruleset.nft:83:1-1.1.1.2: meta iifname eth2.2.4.0 ip saddr 2.2.4.10 ip daddr 8-17 74 ip daddr 2 ip daddr 1.1.1.3 په دې کې قبول کړئ: 2.2.2.5:1-1.1.1.1: meta iifname eth2.2.2.3: iifname. ip saddr. ip daddr {eth1 . 1.1.1.2. 2.2.2.4، اخلاق1. 1.1.1.2. 2.2.3.0، اخلاق24. 1. 1.1.1.2/2.2.4.0، eth2.2.4.10. 2. 1.1.1.3-2.2.2.5، اخلاقXNUMX. XNUMX. XNUMX } مني
  • اصلاح کوونکی کولی شي هغه مقررات هم بدل کړي چې دمخه یې ساده لیست لیستونه په ډیر کمپیکٹ فارم کې کاروي، د بیلګې په توګه قواعد: # cat ruleset.nft table ip filter { chain input { type filter hook input priority filter; د پالیسۍ کمښت iifname "lo" د منلو وړ CT حالت تاسیس شوی، اړونده قبول تبصره "په ټرافیک کې چې موږ یې پیل کوو، موږ باور لرو" iifname "enp0s31f6" ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 123 مني iifname "enp32768s65535f0" ip saddr { 31, 6 } ip daddr 64.59.144.17 udp sport 64.59.150.133 udp dport 10.0.0.149-53 د مخکینۍ مقرراتو په توګه منل کیږي - وروسته له دې چې د بسته بندۍ مقررات } - د مقرراتو په توګه منل شي. تعقیبوي : Ruleset.nft:32768:65535-6: iifname "enp22s149f0" ip saddr { 31, 6 } ip daddr 209.115.181.102 udp سپورت 216.197.228.230 udp سپورټ مني :10.0.0.149- 123: iifname "enp32768s65535f7" ip saddr { 22, 143 } ip daddr 0 udp سپورت 31 udp dport 6-64.59.144.17 په دې کې قبول کړئ: iif نوم. ip saddr. ip daddr. udp سپورت. udp dport { enp64.59.150.133s10.0.0.149f53 . 32768. 65535. ۱۲۳. 0-31، enp6s209.115.181.102f10.0.0.149. 123. 32768. ۱۲۳. 65535-0، enp31s6f216.197.228.230. 10.0.0.149. 123. ۵۳. 32768-65535، enp0s31f6. 64.59.144.17. 10.0.0.149. ۵۳. 53-32768 } مني
  • د بایټ کوډ نسل سره د وقفې د ادغام لپاره ستونزه حل شوې چې د مختلف بایټ آرډر سره ډولونه کاروي ، لکه IPv4 (د شبکې بایټ آرډر) او میټا مارک (سیسټم بایټ آرډر). جدول ip x { نقشه w { د ip saddr ډول . میټا نښه: د پریکړې بیرغونه وقفه ضد عناصر = {127.0.0.1-127.0.0.4 0x123434-0xb00122: قبول کړئ، 192.168.0.10-192.168.1.20 0x0000aa00-0x0000aaff : ومنئ، } } زنځیر k { ډول فلټر هک داخل کړئ لومړیتوب فلټر؛ د پالیسۍ کمښت ip saddr. میټا مارک vmap @w } }
  • د نادر پروتوکولونو ښه پرتله کول کله چې خام څرګندونې کاروي، د بیلګې په توګه: meta l4proto 91 @th,400,16 0x0 قبول کړئ
  • په وقفو کې د مقرراتو د فعالولو ستونزې حل شوې دي: ضابطه داخل کړئ xy tcp سپورت { 3478-3497, 16384-16387 } د منلو وړ
  • د JSON API ښه شوی ترڅو په سیټ او نقشه لیستونو کې د څرګندونو لپاره ملاتړ شامل کړي.
  • د nftables python کتابتون ته غزول د اعتبار حالت ("-c") کې پروسس کولو لپاره د مقرراتو سیټونو بارولو ته اجازه ورکوي او د متغیرونو بهرني تعریف لپاره ملاتړ اضافه کوي.
  • د لیست عناصرو کې د نظرونو اضافه کول اجازه لري.
  • د بایټ نرخ محدودیت د صفر ارزښت مشخص کولو ته اجازه ورکوي.

سرچینه: opennet.ru

Add a comment