ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > nftables පැකට් පෙරහන නිකුතුව 1.0.6

nftables පැකට් පෙරහන නිකුතුව 1.0.6

IPv1.0.6, IPv4, ARP සහ ජාල පාලම් (iptables, ip6table, arptables සහ ebtables ප්‍රතිස්ථාපනය කිරීම අරමුණු කරගත්) පැකට් පෙරහන් අතුරුමුහුණත් ඒකාබද්ධ කරමින්, packet filter nftables 6 නිකුත් කිරීම ප්‍රකාශයට පත් කර ඇත. nftables පැකේජයට පරිශීලක අවකාශයේ ක්‍රියාත්මක වන පැකට් පෙරහන් සංරචක ඇතුළත් වන අතර කර්නල් මට්ටමේ කාර්යය සපයනු ලබන්නේ nf_tables උප පද්ධතිය මගිනි, එය 3.13 නිකුතුවේ සිට Linux කර්නලයේ කොටසක් වේ. කර්නල් මට්ටම සපයනු ලබන්නේ පැකට් වලින් දත්ත උපුටා ගැනීම, දත්ත මෙහෙයුම් සිදු කිරීම සහ ප්‍රවාහ පාලනය සඳහා මූලික කාර්යයන් සපයන සාමාන්‍ය ප්‍රොටෝකෝල-ස්වාධීන අතුරු මුහුණතක් පමණි.

පෙරීමේ රීති සහ ප්‍රොටෝකෝල-විශේෂිත හසුරුවන්නන් පරිශීලක අවකාශයේ බයිට්කේතයට සම්පාදනය කරනු ලැබේ, ඉන්පසු මෙම බයිට්කේතය Netlink අතුරුමුහුණත භාවිතයෙන් කර්නලයට පටවනු ලබන අතර BPF (Berkeley Packet Filters) සිහිගන්වන විශේෂ අථත්‍ය යන්ත්‍රයක කර්නලය තුළ ක්‍රියාත්මක වේ. මෙම ප්‍රවේශය මඟින් කර්නල් මට්ටමින් ක්‍රියාත්මක වන පෙරහන් කේතයේ ප්‍රමාණය සැලකිය යුතු ලෙස අඩු කිරීමට සහ ප්‍රොටෝකෝල සමඟ වැඩ කිරීම සඳහා විග්‍රහ කිරීමේ නීති සහ තර්කනයේ සියලුම කාර්යයන් පරිශීලක අවකාශයට ගෙන යාමට ඔබට ඉඩ සලසයි.

ප්රධාන වෙනස්කම්:

  • රීති ප්‍රශස්තකරණය, “-o/—ප්‍රශස්තකරණය” විකල්පය සඳහන් කර ඇති විට, ඒවා ඒකාබද්ධ කර සිතියම් සහ කුලක ලැයිස්තු බවට පරිවර්තනය කිරීමෙන් නීති රීති ස්වයංක්‍රීයව ඇසුරුම් කර ඇත. උදාහරණයක් ලෙස, රීති # cat ruleet.nft වගුව ip x { chain y { type filter hook input priority filter; ප්රතිපත්ති පහත වැටීම; meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 පිළිගන්න meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4 meta iifname eth1 ip saddr 1.1.1.2 ip saddr 2.2.3.0 .24 ip daddr 1-1.1.1.2 meta iifname eth2.2.4.0 ip saddr 2.2.4.10 ip daddr 2 පිළිගන්න } } "nft -o -c -f" ක්‍රියාත්මක කිරීමෙන් පසු නීති රීති පහත පරිදි පරිවර්තනය වේ .nft:1.1.1.3:2.2.2.5-4: meta iifname eth17 ip saddr 74 ip daddr 1 accept ruleset.nft:1.1.1.1:2.2.2.3-5: meta iifname eth17 ip saddr 74 ip dadd.1 නීති පිළිගන්න. : 1.1.1.2:2.2.2.4-6: meta iifname eth17 ip saddr 77 ip daddr 1/1.1.1.2 accept ruleset.nft:2.2.3.0:24-7: meta iifname eth17 ip saddr 83 ip daddr 1-1.1.1.2. පිළිගනිමු ruleset.nft:2.2.4.0:2.2.4.10-8: meta iifname eth17 ip saddr 74 ip daddr 2 පිළිගන්න: iifname . ip saddr. ip daddr { eth1.1.1.3 . 2.2.2.5. 1, eth1.1.1.1 . 2.2.2.3. 1, eth1.1.1.2 . 2.2.2.4. 1/1.1.1.2, eth2.2.3.0 . 24. 1-1.1.1.2, eth2.2.4.0. 2.2.4.10. 2 } පිළිගන්නවා
  • ප්‍රශස්තකරණයට දැනටමත් සරල කට්ටල ලැයිස්තු භාවිතා කරන නීති වඩාත් සංයුක්ත ආකෘතියකට පරිවර්තනය කළ හැක, උදාහරණයක් ලෙස නීති: # cat ruleet.nft වගුව ip පෙරහන { දාම ආදානය { වර්ගය පෙරහන් කොක්ක ආදාන ප්‍රමුඛතා පෙරහන; ප්රතිපත්ති පහත වැටීම; iifname “lo” පිළිගන්න ct රාජ්‍යය ස්ථාපිත, අදාළ පිළිගැනීමේ අදහස “අපි ආරම්භ වන්නේ ගමනාගමනයේදී, අපි විශ්වාස කරමු” iifname “enp0s31f6” ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 123 පිළිගන්නවා iifname "enp32768s65535f0" ip saddr { 31, 6 } ip daddr 64.59.144.17 udp sport 64.59.150.133 udp dport 10.0.0.149-53 පැකේජය 32768-65535 කපා හැරීමෙන් පසුව පහත සඳහන් පරිදි : ruleset.nft:6:22-149: iifname "enp0s31f6" ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 udp 123 sport 32768 65535dp 7 22:143-0 31 : iifname "enp6s64.59.144.17f64.59.150.133" ip saddr { 10.0.0.149, 53 } ip daddr 32768 udp sport 65535 udp dport 0-31 වෙත පිළිගන්නවා. ip saddr. ip daddr. udp ක්රීඩාව. udp dport {enp6s209.115.181.102f10.0.0.149 . 123. 32768. 65535. 0-31, enp6s216.197.228.230f10.0.0.149. 123. 32768. 65535. 0-31, enp6s64.59.144.17f10.0.0.149. 53. 32768. 65535. 0-31, enp6s64.59.150.133f10.0.0.149. 53. 32768. 65535. XNUMX-XNUMX } පිළිගන්නවා
  • IPv4 (ජාල බයිට් අනුපිළිවෙල) සහ මෙටා ලකුණ (පද්ධති බයිට් අනුපිළිවෙල) වැනි විවිධ බයිට් අනුපිළිවෙල සමඟ වර්ග භාවිතා කරන ඒකාබද්ධ විරාම සඳහා බයිට්කේත උත්පාදනය සමඟ ඇති ගැටළුව විසඳා ඇත. වගුව ip x { map w { ip saddr වර්ගය . මෙටා ලකුණ: තීන්දුව සලකුණු අන්තර කවුන්ටර මූලද්‍රව්‍ය = { 127.0.0.1-127.0.0.4 . 0x123434-0xb00122: පිළිගන්න, 192.168.0.10-192.168.1.20 . 0x0000aa00-0x0000aaff : පිළිගන්න, } } දාමය k {වර්ගය පෙරහන් කොක්ක ආදාන ප්‍රමුඛතා පෙරහන; ප්රතිපත්ති පහත වැටීම; ip saddr. meta mark vmap @w }}
  • අමු ප්‍රකාශන භාවිතා කරන විට දුර්ලභ ප්‍රොටෝකෝල සංසන්දනය කිරීම, උදාහරණයක් ලෙස: meta l4proto 91 @th,400,16 0x0 පිළිගන්න
  • කාල පරතරයන්හිදී නීති සක්‍රීය කිරීමේ ගැටළු නිරාකරණය කර ඇත: xy tcp ක්‍රීඩාව {3478-3497, 16384-16387 } කවුන්ටරය පිළිගැනීම ඇතුළු කරන්න
  • කට්ටල සහ සිතියම් ලැයිස්තු වල ප්‍රකාශන සඳහා සහය ඇතුළත් කිරීමට JSON API වැඩිදියුණු කර ඇත.
  • nftables python library වෙත දිගු කිරීම් වලංගු කිරීමේ මාදිලියේ ("-c") සැකසීම සඳහා රීති කට්ටල පැටවීමට ඉඩ ලබා දෙන අතර විචල්‍යයන් සඳහා බාහිර නිර්වචනය සඳහා සහය එක් කරයි.
  • කට්ටල ලැයිස්තු මූලාංග තුළ අදහස් එකතු කිරීමට අවසර ඇත.
  • බයිට් අනුපාත සීමාව ශුන්‍ය අගයක් නියම කිරීමට ඉඩ දෙයි.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න