پيڪيٽ فلٽر ڇڏڻ ، جيڪو IPv4، IPv6، ARP، ۽ نيٽ ورڪ برجز لاءِ پيڪٽ فلٽرنگ انٽرفيس کي متحد ڪندي iptables، ip6table، arptables، ۽ ebtables جي متبادل طور تي ترقي ڪئي پئي وڃي. nftables پيڪيج ۾ پيڪٽ فلٽر جزا شامل آهن جيڪي يوزر اسپيس ۾ ڪم ڪن ٿا، جڏهن ته ڪرنل-سطح جي ڪارڪردگي nf_tables سب سسٽم پاران مهيا ڪئي وئي آهي، جيڪو ڪرنل جو حصو آهي. Linux رليز 3.13 سان شروع ڪندي، nftables 0.9.3 جي ڪم ڪرڻ لاءِ گهربل تبديليون ايندڙ ڪرنل برانچ ۾ شامل ڪيون ويون آهن. Linux 5.5.
ڪرنل جي سطح تي، صرف هڪ عام، پروٽوڪول-آزاد انٽرفيس مهيا ڪيو ويندو آهي، جيڪو پيڪٽس مان ڊيٽا ڪڍڻ، ڊيٽا آپريشن ڪرڻ، ۽ فلو ڪنٽرول لاءِ بنيادي ڪم مهيا ڪندو آهي. فلٽرنگ لاجڪ پاڻ ۽ پروٽوڪول-مخصوص هينڊلر صارف جي جڳهه ۾ بائيٽ ڪوڊ ۾ مرتب ڪيا ويندا آهن، جيڪو پوءِ نيٽ لنڪ انٽرفيس ذريعي ڪرنل ۾ لوڊ ڪيو ويندو آهي ۽ BPF (برڪلي پيڪٽ فلٽر) جي ياد ڏياريندڙ هڪ وقف ورچوئل مشين ۾ عمل ۾ آندو ويندو آهي. هي طريقو ڪرنل جي سطح تي هلندڙ فلٽرنگ ڪوڊ جي سائيز کي گهٽائي ٿو ۽ سڀني قاعدن جي پارسنگ ۽ پروٽوڪول لاجڪ کي صارف جي جڳهه ڏانهن منتقل ڪري ٿو.
مکيه جدت:
- وقت تي ٻڌل پيڪٽ ميچنگ لاءِ سپورٽ. توهان قاعدي جي ٽرگرنگ لاءِ وقت ۽ تاريخ جي حدن کي بيان ڪري سگهو ٿا، انهي سان گڏ هفتي جي مخصوص ڏينهن تي ٽرگرنگ کي ترتيب ڏئي سگهو ٿا. سيڪنڊن ۾ ايپوچل وقت ڏيکارڻ لاءِ هڪ نئون "-T" آپشن پڻ شامل ڪيو ويو آهي.
ميٽا ٽائيم \»2019-12-24 16:00\" — \»2020-01-02 7:00\"
ميٽا ڪلاڪ \"17:00\" - \"19:00\"
ميٽا ڏينهن \"جمعو\" - ايس اي ٽيگ جي بحالي ۽ محفوظ ڪرڻ لاءِ سپورٽLinux (سيڪنڊ مارڪ).
سي ٽي سيڪ مارڪ سيٽ ميٽا سيڪ مارڪ
ميٽا سيڪ مارڪ سيٽ سي سيڪ مارڪ - سنپروڪسي نقشن لاءِ سپورٽ، توهان کي هر پس منظر ۾ هڪ کان وڌيڪ قاعدا بيان ڪرڻ جي اجازت ڏئي ٿي.
ٽيبل ip foo {
هم آهنگي https-هم آهنگي {
ايم ايس ايس 1460
ڊبليو اسڪيل 7
ٽائيم اسٽيمپ ساک-پرم
}هم آهنگي ٻيو-هم آهنگي {
ايم ايس ايس 1460
ڊبليو اسڪيل 5
}زنجير اڳ {
فلٽر ٿلهو ٽائيپ ڪريو پري روٽنگ ترجيح خام؛ پاليسي قبول ڪريو؛
ٽي سي پي ڊي پورٽ 8888 ٽي سي پي جھنڊا syn notrack
}زنجير بار {
ٽائپ فلٽر ٿلهو اڳتي ترجيح فلٽر؛ پاليسي قبول ڪريو؛
ct اسٽيٽ غلط، غير ٽريڪ ٿيل synproxy نالو ip saddr نقشو { 192.168.1.0/24 : “https-synproxy”, 192.168.2.0/24 : “other-synproxy” }
}
} - پيڪٽ پروسيسنگ قاعدن مان سيٽ عنصرن کي متحرڪ طور تي هٽائڻ جي صلاحيت.
nft قاعدو شامل ڪريو ... حذف ڪريو @set5 { ip6 saddr . ip6 daddr }
- نيٽ ورڪ برج انٽرفيس ميٽا ڊيٽا ۾ بيان ڪيل ID ۽ پروٽوڪول ذريعي VLAN ميپنگ لاءِ سپورٽ؛
ميٽا آئي بي آر پي وي آءِ ڊي 100
ميٽا آئي بي آر وي پروٽو ويلان - "-t" ("--terse") آپشن قاعدن کي ڏيکارڻ وقت سيٽ عنصرن کي خارج ڪري ٿو. "nft -t list ruleset" هلائڻ سان آئوٽ پُٽ ٿيندو:
ٽيبل ip x {
سيٽ ڪريو y {
ٽائيپ ڪريو ipv4_addr
}
}۽ "اين ايف ٽي لسٽ رول سيٽ" سان
ٽيبل ip x {
سيٽ ڪريو y {
ٽائيپ ڪريو ipv4_addr
عنصر = { 192.168.10.2، 192.168.20.1،
192.168.4.4، 192.168.2.34 }
}
} - عام فلٽرنگ قاعدن کي گڏ ڪرڻ لاءِ نيٽ ڊيو زنجيرن ۾ هڪ کان وڌيڪ ڊوائيس بيان ڪرڻ جي صلاحيت (صرف ڪرنل 5.5 سان ڪم ڪري ٿي).
نيٽ ڊيو ايڪس ٽيبل شامل ڪريو
نيٽ ڊيو xy زنجير شامل ڪريو { \
ٽائپ فلٽر ٿلهو داخل ٿيندڙ ڊوائيسز = { eth0, eth1 } ترجيح 0;
} - ڊيٽا جي قسم جي وضاحت شامل ڪرڻ جو امڪان.
# nft ipv4_addr بيان ڪريو
ڊيٽا ٽائپ ipv4_addr (IPv4 ايڊريس) (بنيادي قسم جو انٽيجر)، 32 بِٽ - libreadline جي بدران linenoise لائبريري سان CLI انٽرفيس ٺاهڻ جي صلاحيت.
./configure --with-cli=linenoise
جو ذريعو: opennet.ru
