پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > nftables پيڪٽ فلٽر 1.0.6 رليز

nftables پيڪٽ فلٽر 1.0.6 رليز

nftables 1.0.6 پيڪٽ فلٽر رليز شايع ڪيو ويو آهي، IPv4، IPv6، ARP ۽ نيٽ ورڪ پل لاءِ پيڪٽ فلٽرنگ انٽرفيس کي متحد ڪرڻ (مقصد iptables، ip6table، arptables ۽ ebtables کي تبديل ڪرڻ). nftables پيڪيج ۾ پيڪيٽ فلٽر اجزاء شامل آهن جيڪي صارف جي جاء تي هلن ٿا، جڏهن ته ڪني جي سطح nf_tables سب سسٽم پاران مهيا ڪيل آهي، جيڪا 3.13 جي ڇڏڻ کان وٺي لينڪس ڪنيل جو حصو آهي. ڪرنل جي سطح تي، صرف هڪ عام پروٽوڪول-آزاد انٽرفيس مهيا ڪيو ويو آهي جيڪو پيڪن مان ڊيٽا ڪڍڻ، ڊيٽا تي آپريشن ڪرڻ، ۽ وهڪري کي ڪنٽرول ڪرڻ لاءِ بنيادي ڪم مهيا ڪري ٿو.

فلٽرنگ جا ضابطا پاڻ ۽ پروٽوڪول-مخصوص هينڊلر يوزر اسپيس بائيٽ ڪوڊ ۾ مرتب ڪيا ويندا آهن، جنهن کان پوءِ هي بائيٽ ڪوڊ نيٽ لنڪ انٽرفيس استعمال ڪندي ڪرنل ۾ لوڊ ڪيو ويندو آهي ۽ بي پي ايف (برڪلي پيڪٽ فلٽرز) جهڙي هڪ خاص ورچوئل مشين ۾ ڪرنل ۾ لڳايو ويندو آهي. اهو طريقو اهو ممڪن بڻائي ٿو ته ڪنيل سطح تي هلندڙ فلٽرنگ ڪوڊ جي سائيز کي خاص طور تي گھٽائڻ ۽ ضابطن جي تجزيي جي سڀني ڪمن کي منتقل ڪرڻ ۽ پروٽوڪول سان ڪم ڪرڻ جي منطق کي صارف جي جاء تي.

مکيه تبديليون:

  • ضابطن جي اصلاح ڪندڙ ۾ سڏيو ويندو آهي جڏهن "-o/--optimize" اختيار کي بيان ڪيو وڃي، ضابطن جي خودڪار پيڪنگنگ انهن کي گڏ ڪندي ۽ انهن کي نقشي- ۽ سيٽ-لسٽن ۾ تبديل ڪندي ترتيب ڏني وئي آهي. مثال طور، ضابطا آهن # cat ruleset.nft ٽيبل ip x { chain y { type filter hook input priority filter; پاليسي جي کوٽ؛ meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 قبول ڪريو meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4 قبول ڪريو ميٽا iifname eth1 ip saddr 1.1.1.2 ip2.2.3.0.ifname saddr 24 قبول ڪريو 1 .1.1.1.2 ip daddr 2.2.4.0-2.2.4.10 قبول ڪريو meta iifname eth2 ip saddr 1.1.1.3 ip daddr 2.2.2.5 accept } } کان پوءِ "nft -o -c -f ruleset.nft" کي ھيٺين ۾ تبديل ڪيو ويندو: قاعدو سيٽ. nft:4:17-74: meta iifname eth1 ip daddr 1.1.1.1 ip daddr 2.2.2.3 accept ruleset.nft:5:17-74: meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4.n6 ضابطا قبول ڪريو 17:77-1: meta iifname eth1.1.1.2 ip saddr 2.2.3.0 ip daddr 24/7 accept ruleset.nft:17:83-1: meta iifname eth1.1.1.2 ip saddr 2.2.4.0 ip daddr 2.2.4.10-8 قبول ڪريو. Ruleset.nft:17:74-2: meta iifname eth1.1.1.3 ip saddr 2.2.2.5 ip daddr 1 قبول ڪريو: iifname . اي پي صدر. آئي پي ڊيڊر {eth1.1.1.1. 2.2.2.3. 1، اخلاقي1.1.1.2 . 2.2.2.4. 1، اخلاقيات 1.1.1.2 . 2.2.3.0. 24/1، اخلاقي1.1.1.2 . 2.2.4.0. 2.2.4.10-2، اخلاقي1.1.1.3 . 2.2.2.5. XNUMX} قبول ڪريو
  • اصلاح ڪندڙ ضابطن کي به گھٽائي سگھي ٿو جيڪي اڳ ۾ ئي سادي سيٽ لسٽن کي وڌيڪ ڪمپيڪٽ فارم ۾ استعمال ڪندا آھن، جھڙوڪ: # cat ruleset.nft table ip filter { chain input { type filter hook input priority filter؛ پاليسي جي کوٽ؛ iifname "lo" قبول ڪيو ct رياست قائم، لاڳاپيل تبصرو قبول ڪريو "ٽريفڪ ۾ جيڪو اسان شروع ڪيو، اسان کي ڀروسو آهي" iifname "enp0s31f6" ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 123 قبول ڪيو iifname "enp32768s65535f0" ip saddr { 31, 6 } ip daddr 64.59.144.17 udp sport 64.59.150.133 udp dport 10.0.0.149-53 قبول ڪيو ويندو "ftn }-ftn هن پيڪيج کان پوءِ. : Ruleset.nft:32768:65535-6: iifname "enp22s149f0" ip saddr { 31, 6 } ip daddr 209.115.181.102 udp sport 216.197.228.230-d10.0.0.149 udp اسپورٽ قبول ڪريو : 123-32768 65535 : iifname "enp7s22f143" ip saddr { 0, 31 } ip daddr 6 udp sport 64.59.144.17 udp dport 64.59.150.133-10.0.0.149 ۾ قبول ڪريو: iifname. اي پي صدر. آئي پي ڊيڊر. udp راندين. udp dport { enp53s32768f65535 . 0. 31 . 6. 209.115.181.102-10.0.0.149، enp123s32768f65535 . 0. 31 . 6. 216.197.228.230-10.0.0.149، enp123s32768f65535 . 0. 31 . 6. 64.59.144.17-10.0.0.149، enp53s32768f65535 . 0. 31 . 6. 64.59.150.133-10.0.0.149 } قبول ڪريو
  • هڪ مسئلو حل ڪيو بائيٽ ڪوڊ نسل سان گڏ وقفن کي ضم ڪرڻ لاءِ جيڪي قسم استعمال ڪن ٿا مختلف انتهاپسندي سان، جهڙوڪ IPv4 (نيٽ ورڪ اينڊين) ۽ ميٽا مارڪ (سسٽم اينڊين). ٽيبل ip x { نقشي w { قسم جو ip saddr . ميٽا نشان: فيصلو پرچم وقفو انسداد عناصر = {127.0.0.1-127.0.0.4 . 0x123434-0xb00122 : قبول ڪريو، 192.168.0.10-192.168.1.20 . 0x0000aa00-0x0000aaff : قبول ڪريو، } } زنجير ڪ { ٽائپ فلٽر ٿلهو ان پٽ ترجيحي فلٽر؛ پاليسي جي کوٽ؛ اي پي صدر. ميٽا نشان vmap @w } }
  • بهتر ناياب پروٽوڪول ميپنگس جڏهن خام اظهار استعمال ڪندي، مثال طور: meta l4proto 91 @th,400,16 0x0 قبول ڪريو
  • مقرر ٿيل مسئلا وقفن تي ضابطن کي فعال ڪرڻ سان: داخل ڪريو ضابطو xy tcp اسپورٽ { 3478-3497, 16384-16387 } انسداد قبول
  • JSON API کي بهتر ڪيو ويو آھي سيٽ ۽ نقشي جي فهرستن ۾ اظهار جي حمايت ڪرڻ لاء.
  • nftables python لائبريري جي توسيع ۾، ضابطن جي سيٽن کي اجازت ڏني وئي آھي لوڊ ٿيڻ جي لاءِ پروسيسنگ لاءِ چيڪ موڊ ("-c") ۽ مدد شامل ڪئي وئي آھي خارجي متغير تعريف لاءِ.
  • سيٽ لسٽن جي عناصرن ۾ تبصرو شامل ڪرڻ جي اجازت آھي.
  • اهو بائيٽ جي شرح جي حد ۾ صفر قدر بيان ڪرڻ جي اجازت آهي.

جو ذريعو: opennet.ru

تبصرو شامل ڪريو