nftables 1.0.7 پيڪٽ فلٽر رليز شايع ڪيو ويو آهي، IPv4، IPv6، ARP ۽ نيٽ ورڪ پل لاءِ پيڪٽ فلٽرنگ انٽرفيس کي متحد ڪرڻ (مقصد iptables، ip6table، arptables ۽ ebtables کي تبديل ڪرڻ). nftables پيڪيج ۾ پيڪيٽ فلٽر اجزاء شامل آهن جيڪي صارف جي جاء تي هلن ٿا، جڏهن ته ڪني جي سطح nf_tables سب سسٽم پاران مهيا ڪيل آهي، جيڪا 3.13 جي ڇڏڻ کان وٺي لينڪس ڪنيل جو حصو آهي. ڪرنل جي سطح تي، صرف هڪ عام پروٽوڪول-آزاد انٽرفيس مهيا ڪيو ويو آهي جيڪو پيڪن مان ڊيٽا ڪڍڻ، ڊيٽا تي آپريشن ڪرڻ، ۽ وهڪري کي ڪنٽرول ڪرڻ لاءِ بنيادي ڪم مهيا ڪري ٿو.
فلٽرنگ جا ضابطا پاڻ ۽ پروٽوڪول-مخصوص هينڊلر يوزر اسپيس بائيٽ ڪوڊ ۾ مرتب ڪيا ويندا آهن، جنهن کان پوءِ هي بائيٽ ڪوڊ نيٽ لنڪ انٽرفيس استعمال ڪندي ڪرنل ۾ لوڊ ڪيو ويندو آهي ۽ بي پي ايف (برڪلي پيڪٽ فلٽرز) جهڙي هڪ خاص ورچوئل مشين ۾ ڪرنل ۾ لڳايو ويندو آهي. اهو طريقو اهو ممڪن بڻائي ٿو ته ڪنيل سطح تي هلندڙ فلٽرنگ ڪوڊ جي سائيز کي خاص طور تي گھٽائڻ ۽ ضابطن جي تجزيي جي سڀني ڪمن کي منتقل ڪرڻ ۽ پروٽوڪول سان ڪم ڪرڻ جي منطق کي صارف جي جاء تي.
مکيه تبديليون:
- Linux kernel 6.2+ تي هلندڙ سسٽم لاءِ، vxlan، geneve، gre، ۽ gretap پروٽوڪول ميپنگ لاءِ سپورٽ شامل ڪئي وئي آهي، سادو ايڪسپريسز کي اجازت ڏئي ٿو ته هيڊر چيڪ ڪرڻ لاءِ encapsulated packets ۾. مثال طور، VxLAN کان نيسٽ ٿيل پيڪٽ جي هيڊر ۾ IP پتي کي چيڪ ڪرڻ لاءِ، توهان هاڻي ضابطا استعمال ڪري سگهو ٿا (بغير پهرين VxLAN هيڊر کي ختم ڪرڻ ۽ فلٽر کي vxlan0 انٽرفيس تي پابند ڪرڻ جي ضرورت کان سواءِ): ... udp dport 4789 vxlan ip protocol udp ... udp dport 4789 vxlan ip saddr 1.2.3.0. 24/4789 ... udp dport 1.2.3.4 vxlan ip saddr . vxlan ip daddr { 4.3.2.1 . XNUMX }
- ھڪڙي سيٽ-لسٽ عنصر جي جزوي حذف ٿيڻ کان پوءِ باقي رھندڙن جي پاڻمرادو ضم ڪرڻ لاءِ سپورٽ لاڳو ڪئي وئي آھي، جيڪا توھان کي اجازت ڏئي ٿي ھڪ عنصر يا ھڪڙي رينج جو حصو ھڪڙي موجوده رينج مان حذف ڪرڻ (اڳي، ھڪڙي حد کي صرف مڪمل طور تي ختم ڪري سگھجي ٿو). مثال طور، 25-24 ۽ 30-40 جي حدن سان سيٽ لسٽ مان عنصر 50 کي هٽائڻ کان پوء، لسٽ 24، 26-30 ۽ 40-50 رهندي. 5.10+ ڪنيال جي مستحڪم شاخن جي سار سنڀال جي رليز ۾ ڪم ڪرڻ لاءِ پاڻمرادو ڪم ڪرڻ لاءِ گهربل فيڪس پيش ڪيا ويندا. # nft لسٽ رول سيٽ ٽيبل ip x { سيٽ ڪريو y { قسم جو tcp dport پرچم وقفو آٽو ملائي عناصر = { 24-30, 40-50 } } } # nft حذف عنصر ip xy { 25 } # nft فهرست ضابطن جي ٽيبل ip x { سيٽ y { قسم جو tcp dport جھنڊو وقفو آٽو ملائي عناصر = { 24, 26-30, 40-50 } } }
- رابطا ۽ حدن جي استعمال جي اجازت ڏئي ٿي جڏهن ميپنگ ايڊريس ترجمو (NAT). جدول ip nat { chain prerouting { type nat hook prerouting priority dstnat؛ پاليسي قبول؛ dnat to ip daddr. tcp dport نقشو { 10.1.1.136 . 80: 1.1.2.69. 1024، 10.1.1.10-10.1.1.20. 8888-8889: 1.1.2.69. 2048-2049 } مسلسل } }
- شامل ڪيل سپورٽ "آخري" اظهار لاءِ، جيڪا توهان کي اجازت ڏئي ٿي ته ڪنهن قاعدي عنصر يا سيٽ لسٽ جي آخري استعمال جو وقت. خصوصيت لينڪس ڪنيل 5.14 سان شروع ٿيندڙ سپورٽ ڪئي وئي آهي. ٽيبل ip x { سيٽ y { قسم جو ip daddr . tcp dport سائيز 65535 پرچم متحرڪ، وقت ختم ٿيڻ جو آخري وقت 1h } زنجير z {قسم فلٽر ٿلهو ٻاڦ ٻاھرين ترجيحي فلٽر؛ پاليسي قبول؛ تازه ڪاري @y {ip daddr. tcp dport } } } # nft لسٽ سيٽ ڪريو ip xy ٽيبل ip x { سيٽ y { قسم جو ip daddr . tcp dport سائيز 65535 پرچم متحرڪ، وقت ختم ٿيڻ جو آخري وقت 1h عناصر = {172.217.17.14. 443 آخري استعمال ٿيل 1s591ms ٽائم آئوٽ 1h 59m58s409ms، 172.67.69.19 ختم ٿئي ٿو. 443 آخري استعمال ڪيو ويو 4s636ms ٽائم آئوٽ 1h ختم ٿئي ٿو 59m55s364ms، 142.250.201.72 . 443 آخري استعمال ڪيو ويو 4s748ms ٽائم آئوٽ 1h ختم ٿئي ٿو 59m55s252ms، 172.67.70.134 . 443 آخري استعمال ٿيل 4s688ms ٽائم آئوٽ 1h 59m55s312ms، 35.241.9.150 ختم ٿئي ٿو. 443 آخري استعمال ڪيو ويو 5s204ms ٽائم آئوٽ 1h ختم ٿئي ٿو 59m54s796ms، 138.201.122.174 . 443 آخري استعمال ڪيو ويو 4s537ms ٽائم آئوٽ 1h ختم ٿئي ٿو 59m55s463ms، 34.160.144.191 . 443 آخري استعمال ڪيو ويو 5s205ms ٽائم آئوٽ 1h ختم ٿئي ٿو 59m54s795ms، 130.211.23.194 . 443 آخري استعمال ٿيل 4s436ms ٽائم آئوٽ 1h ختم ٿئي ٿو 59m55s564ms } }
- سيٽ لسٽن ۾ ڪوٽا بيان ڪرڻ جي صلاحيت شامل ڪئي وئي. مثال طور، هر ٽارگيٽ IP پتي لاءِ ٽريفڪ ڪوٽا جو تعين ڪرڻ لاءِ، توھان بيان ڪري سگھو ٿا: ٽيبل netdev x { set y { typeof ip daddr size 65535 quota over 10000 mbytes } chain y { type filter hook egress device "eth0" ترجيحي فلٽر؛ پاليسي قبول؛ ip daddr @y drop } } # nft شامل ڪريو عنصر inet xy { 8.8.8.8 } # ping -c 2 8.8.8.8 # nft لسٽ قاعدن جي ٽيبل netdev x { سيٽ ڪريو y { ٽائپ ڪريو ipv4_addr سائيز 65535 ڪوٽا 10000 mbytes = 8.8.8.8 عناصر تي. 10000 ڪوٽا 196 mbytes مٿان استعمال ٿيل 0 bytes } } زنجير y { ٽائپ فلٽر ٿلهو ايگريس ڊيوائس ”ethXNUMX“ ترجيحي فلٽر؛ پاليسي قبول؛ ip daddr @y drop } }
- سيٽ لسٽن ۾ مستقل استعمال جي اجازت آهي. مثال طور، جڏهن منزل جي ايڊريس ۽ VLAN ID کي لسٽ چيڪ طور استعمال ڪيو وڃي، توهان سڌو VLAN نمبر بيان ڪري سگهو ٿا (daddr. 123): table netdev t { set s { typeof ether saddr. vlan id سائيز 2048 پرچم متحرڪ، ٽائم آئوٽ ٽائم آئوٽ 1m } زنجير سي { ٽائپ فلٽر ٿلهو انگريس ڊيوائس eth0 priority 0؛ پاليسي قبول؛ ether قسم != 8021q تازه ڪاري @s { ether daddr . 123 } جوابي } }
- غير مشروط طور تي شيون حذف ڪرڻ لاءِ نئون "تباهه" حڪم شامل ڪيو ويو (ڊليٽ ڪرڻ واري حڪم جي برعڪس، اهو ENOENT پيدا نٿو ڪري جڏهن گم ٿيل اعتراض کي حذف ڪرڻ جي ڪوشش ڪري ٿو). ڪم ڪرڻ لاءِ گھٽ ۾ گھٽ لينڪس ڪنيل 6.3-rc جي ضرورت آھي. ٽيبل ip فلٽر کي تباهه ڪريو
جو ذريعو: opennet.ru