පැකට් පෙරහන මුදා හැරීම , IPv4, IPv6, ARP, සහ ජාල පාලම් සඳහා පැකට් පෙරහන් අතුරුමුහුණත් ඒකාබද්ධ කිරීම මගින් iptables, ip6table, arptables සහ ebtables සඳහා ආදේශකයක් ලෙස සංවර්ධනය වෙමින් පවතී. nftables පැකේජයට පරිශීලක අවකාශයේ ක්රියාත්මක වන පැකට් පෙරහන් සංරචක ඇතුළත් වන අතර, කර්නල් මට්ටමේ ක්රියාකාරිත්වය කර්නලයේ කොටසක් වන nf_tables උප පද්ධතිය මඟින් සපයනු ලැබේ. Linux 3.13 නිකුතුවෙන් පටන් ගෙන, nftables 0.9.3 ක්රියා කිරීමට අවශ්ය වෙනස්කම් ඉදිරියට එන kernel ශාඛාවට ඇතුළත් කර ඇත. Linux 5.5.
කර්නල් මට්ටම සපයනු ලබන්නේ පැකට් වලින් දත්ත උපුටා ගැනීම, දත්ත මෙහෙයුම් සිදු කිරීම සහ ප්රවාහ පාලනය සඳහා මූලික කාර්යයන් සපයන සාමාන්ය ප්රොටෝකෝල-ස්වාධීන අතුරු මුහුණතක් පමණි. පෙරීමේ තර්කනයම සහ ප්රොටෝකෝල-විශේෂිත හසුරුවන්න පරිශීලක අවකාශයේ බයිට්කෝඩ් බවට සම්පාදනය කරනු ලැබේ, ඉන්පසු මෙම බයිට්කේතය Netlink අතුරුමුහුණත භාවිතයෙන් කර්නලයට පටවනු ලබන අතර BPF (Berkeley Packet Filters) සිහිගන්වන විශේෂ අථත්ය යන්ත්රයක ක්රියාත්මක වේ. මෙම ප්රවේශය මඟින් කර්නල් මට්ටමින් ක්රියාත්මක වන පෙරහන කේතයේ ප්රමාණය සැලකිය යුතු ලෙස අඩු කිරීමට සහ ප්රොටෝකෝල සමඟ වැඩ කිරීම සඳහා විග්රහ කිරීමේ නීති සහ තර්කනයේ සියලුම කාර්යයන් පරිශීලක අවකාශයට ගෙන යාමට ඔබට ඉඩ සලසයි.
ප්රධාන නවෝත්පාදන:
- කාලය මත පදනම් වූ පැකට් ගැලපීම සඳහා සහාය. රීති ක්රියාත්මක කිරීම සඳහා ඔබට කාල සහ දින පරාසයන් නිර්වචනය කළ හැකි අතර, සතියේ නිශ්චිත දිනවල ක්රියාත්මක කිරීම වින්යාසගත කළ හැකිය. තත්පර වලින් එපෝචල් කාලය පෙන්වීම සඳහා නව "-T" විකල්පයක් ද එක් කර ඇත.
මෙටා වේලාව \»2019-12-24 16:00\" — \»2020-01-02 7:00\"
මෙටා පැය \"17:00\" - \"19:00\"
මෙටා දිනය \"සිකුරා\" - SE ටැග් ප්රතිස්ථාපනය සහ සුරැකීම සඳහා සහායLinux (සෙක්මාර්ක්).
ct secmark කට්ටලය meta secmark
මෙටා සෙක්මාර්ක් කට්ටලය සීටී සෙක්මාර්ක් - සමමුහුර්ත සිතියම් සඳහා සහාය, ඔබට පසු අන්තයකට රීති එකකට වඩා අර්ථ දැක්වීමට ඉඩ සලසයි.
වගුව ip foo {
සමමුහුර්ත https-සමමුහුර්ත {
එම්එස්එස් 1460
wscale 7
කාල මුද්රා සැක්-පර්ම්
}සමමුහුර්තකරණය වෙනත්-සමමුහුර්තකරණය {
එම්එස්එස් 1460
wscale 5
}{පෙර දාමය
ටයිප් ෆිල්ටර් කොක්ක ප්රමුඛතා අමු; ප්රතිපත්ති පිළිගැනීම;
tcp dport 8888 tcp flags syn notrack
}දාම තීරුව {
ටයිප් ෆිල්ටර් කොක්ක ඉදිරි ප්රමුඛතා පෙරහන; ප්රතිපත්ති පිළිගැනීම;
ct තත්ත්වය වලංගු නොවේ, ලුහුබැඳ නොගිය සමමුහුර්ත නාමය ip saddr සිතියම { 192.168.1.0/24 : “https-synproxy”, 192.168.2.0/24 : “other-synproxy” }
}
} - පැකට් සැකසුම් නීති වලින් කට්ටල මූලද්රව්ය ගතිකව ඉවත් කිරීමේ හැකියාව.
nft රීතිය එකතු කරන්න ... මකන්න @set5 { ip6 saddr . ip6 daddr}
- ජාල පාලම් අතුරුමුහුණත් පාර-දත්තවල අර්ථ දක්වා ඇති ID සහ ප්රොටෝකෝලය මඟින් VLAN සිතියම්ගත කිරීම සඳහා සහාය;
මෙටා අයිබීආර්පීවීඅයිඩී 100
මෙටා ibrvප්රෝටෝ ව්ලැන් - "-t" ("--terse") විකල්පය නීති පෙන්වන විට කට්ටල අංග බැහැර කරයි. "nft -t list ruleset" ක්රියාත්මක කිරීමෙන් ප්රතිදානය වනු ඇත:
වගුව ip x {
y { සකසන්න
ipv4_addr ටයිප් කරන්න
}
}සහ “nft ලැයිස්තු නීති කට්ටලය” සමඟ
වගුව ip x {
y { සකසන්න
ipv4_addr ටයිප් කරන්න
මූලද්රව්ය = { 192.168.10.2, 192.168.20.1,
192.168.4.4, 192.168.2.34 }
}
} - පොදු පෙරහන් නීති ඒකාබද්ධ කිරීම සඳහා netdev දාමවල උපාංග එකකට වඩා සඳහන් කිරීමේ හැකියාව (කර්නල් 5.5 සමඟ පමණක් ක්රියා කරයි).
netdev x වගුව එක් කරන්න
netdev xy දාමය එක් කරන්න { \
පෙරහන් කොකු ඇතුල්වීමේ උපාංග වර්ගය = { eth0, eth1 } ප්රමුඛතාවය 0;
} - දත්ත වර්ග විස්තර එකතු කිරීමේ හැකියාව.
# nft ipv4_addr විස්තර කරන්න
දත්ත වර්ගය ipv4_addr (IPv4 ලිපිනය) (මූලික වර්ගය පූර්ණ සංඛ්යා), බිටු 32 - libreadline වෙනුවට linenoise පුස්තකාලය සමඟ CLI අතුරුමුහුණත ගොඩනැගීමේ හැකියාව.
./configure --with-cli=linenoise
මූලාශ්රය: opennet.ru
