پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > nftables پيڪٽ فلٽر 1.0.2 رليز

nftables پيڪٽ فلٽر 1.0.2 رليز

پيڪٽ فلٽر nftables 1.0.2 جو رليز شايع ڪيو ويو آهي، IPv4، IPv6، ARP ۽ نيٽ ورڪ پلز لاءِ پيڪٽ فلٽرنگ انٽرفيس کي متحد ڪرڻ (مقصد iptables، ip6table، arptables ۽ ebtables کي تبديل ڪرڻ). ڪم ڪرڻ لاءِ nftables 1.0.2 ڇڏڻ لاءِ گهربل تبديليون لينڪس ڪنيل 5.17-rc ۾ شامل آهن.

nftables پيڪيج ۾ پيڪيٽ فلٽر اجزاء شامل آهن جيڪي صارف جي جاء تي هلن ٿا، جڏهن ته ڪنيبل سطح جو ڪم nf_tables سب سسٽم پاران مهيا ڪيل آهي، جيڪو 3.13 جي ڇڏڻ کان وٺي لينڪس ڪنييل جو حصو آهي. ڪرنل ليول صرف هڪ عام پروٽوڪول-آزاد انٽرفيس مهيا ڪري ٿو جيڪو پيڪن مان ڊيٽا ڪڍڻ، ڊيٽا آپريشنز ڪرڻ، ۽ وهڪري ڪنٽرول ڪرڻ لاءِ بنيادي ڪم مهيا ڪري ٿو.

فلٽرنگ جا ضابطا پاڻ ۽ پروٽوڪول-مخصوص هينڊلر يوزر اسپيس بائيٽ ڪوڊ ۾ مرتب ڪيا ويندا آهن، جنهن کان پوءِ هي بائيٽ ڪوڊ نيٽ لنڪ انٽرفيس استعمال ڪندي ڪرنل ۾ لوڊ ڪيو ويندو آهي ۽ بي پي ايف (برڪلي پيڪٽ فلٽرز) جهڙي هڪ خاص ورچوئل مشين ۾ ڪرنل ۾ لڳايو ويندو آهي. اهو طريقو اهو ممڪن بڻائي ٿو ته ڪنيل سطح تي هلندڙ فلٽرنگ ڪوڊ جي سائيز کي خاص طور تي گھٽائڻ ۽ ضابطن جي تجزيي جي سڀني ڪمن کي منتقل ڪرڻ ۽ پروٽوڪول سان ڪم ڪرڻ جي منطق کي صارف جي جاء تي.

مکيه جدت:

  • ضابطن جي اصلاح واري موڊ کي شامل ڪيو ويو آهي، نئين "-o" ("--optimize") آپشن کي استعمال ڪندي فعال ڪيو ويو آهي، جنهن کي "--check" اختيار سان ملائي سگهجي ٿو ته قاعدن جي فائل ۾ تبديلين کي جانچڻ ۽ بهتر ڪرڻ لاءِ ان کي اصل ۾ لوڊ ڪرڻ کان سواءِ. . اصلاح توهان کي ساڳين قاعدن کي گڏ ڪرڻ جي اجازت ڏئي ٿي، مثال طور، ضابطا: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 accept meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 قبول ڪريو ip daddr.1.1.1.1. .2.2.2.2 قبول ڪريو ipsadr 2.2.2.2 ip daddr 3.3.3.3 drop

    meta iifname ۾ گڏ ڪيو ويندو. اي پي صدر. آئي پي ڊيڊر {eth1. 1.1.1.1. 2.2.2.3، اخلاقي1 . 1.1.1.2. 2.2.2.5 } ip sadr قبول ڪريو. ip daddr vmap { 1.1.1.1 . 2.2.2.2: قبول ڪريو، 2.2.2.2 . 3.3.3.3 : ڦوٽو }

    مثال استعمال: # nft -c -o -f ruleset.test ضم ڪرڻ: ruleset.nft:16:3-37: ip daddr 192.168.0.1 counter accept ruleset.nft:17:3-37: ip daddr 192.168.0.2 counter accept Ruleset.nft:18:3-37: ip daddr 192.168.0.3 counter ان ۾ قبول ڪريو: ip daddr { 192.168.0.1, 192.168.0.2, 192.168.0.3 } counter packets 0 bytes 0 قبول ڪريو

  • سيٽ لسٽون ip ۽ tcp اختيارن کي بيان ڪرڻ جي صلاحيت تي عمل درآمد ڪن ٿيون، گڏوگڏ sctp chunks: set s5 { type of ip option ra value عناصر = { 1, 1024 } } set s7 { type of sctp chunk init num-inbound-streams عناصر = { 1.
  • شامل ڪيل سپورٽ TCP اختيارن لاءِ فاسٽوپن، md5sig ۽ mptcp.
  • ميپنگز ۾ mp-tcp ذيلي قسم استعمال ڪرڻ لاءِ سپورٽ شامل ڪئي وئي: tcp آپشن mptcp ذيلي قسم 1
  • بهتر ڪيل ڪنيل پاسي واري فلٽرنگ ڪوڊ.
  • Flowtable هاڻي JSON فارميٽ لاء مڪمل حمايت ڪئي آهي.
  • Ethernet فريم ميچنگ آپريشن ۾ ”رد“ عمل کي استعمال ڪرڻ جي صلاحيت ڏني وئي آهي. ether saddr aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 رد ڪريو

جو ذريعو: opennet.ru

تبصرو شامل ڪريو