nftables 0.9.9 පැකට් පෙරහන නිකුත් කර ඇත. එය IPv4, IPv6, ARP සහ ජාල පාලම් සඳහා පැකට් පෙරහන් අතුරුමුහුණත් ඒකාබද්ධ කරයි (iptables, ip6table, arptables සහ ebtables සඳහා ආදේශකයක් ලෙස ඉලක්ක කර ඇත). nf_tables උප පද්ධතිය සමඟ අන්තර් ක්රියා කිරීම සඳහා පහළ මට්ටමේ API එකක් සපයන libnftnl 1.2.0 පුස්තකාලය එකවර නිකුත් කර ඇත. nftables 0.9.9 සඳහා අවශ්ය වෙනස්කම් කර්නලයට ඇතුළත් කර ඇත. Linux 5.13-ආර්සී1.
nftables පැකේජයේ පරිශීලක අවකාශයේ ක්රියාත්මක වන පැකට් පෙරහන් සංරචක අඩංගු වන අතර, කර්නල් මට්ටමේ කාර්යය සපයනු ලබන්නේ කර්නලයේ කොටසක් වන nf_tables උප පද්ධතිය මගිනි. Linux 3.13 නිකුතුවේ සිට, කර්නල් මට්ටමින් සාමාන්ය ප්රොටෝකෝල-ස්වාධීන අතුරු මුහුණතක් පමණක් සපයනු ලබන අතර, පැකට් වලින් දත්ත උපුටා ගැනීම, දත්ත මෙහෙයුම් සිදු කිරීම සහ ප්රවාහ පාලනය සඳහා මූලික ක්රියාකාරිත්වය සපයයි.
පෙරහන් රීති සහ ප්රොටෝකෝල-නිශ්චිත හසුරුවන්නන් පරිශීලක අවකාශයේ බයිට්කේතයට සම්පාදනය කරනු ලැබේ, ඉන්පසු මෙම බයිට්කේතය Netlink අතුරුමුහුණත භාවිතයෙන් කර්නලයට පටවා විශේෂ එකක් තුළ කර්නලය තුළ ක්රියාත්මක කරනු ලැබේ. අතථ්ය යන්ත්රය, BPF (බර්ක්ලි පැකට් පෙරහන්) සිහිගන්වයි. මෙම ප්රවේශය කර්නල් මට්ටමින් ක්රියාත්මක වන පෙරහන් කේතයේ ප්රමාණය සැලකිය යුතු ලෙස අඩු කිරීමට ඉඩ සලසන අතර සියලුම රීති විග්රහ කිරීම සහ ප්රොටෝකෝල තර්කනය පරිශීලක අවකාශයට ගෙන යයි.
ප්රධාන නවෝත්පාදන:
- ප්රවාහ වගු සැකසුම් ජාල ඇඩැප්ටර පැත්තට ගෙනයාමේ හැකියාව ක්රියාත්මක කරන ලද අතර, 'ඕෆ්ලෝඩ්' ධජය භාවිතයෙන් සක්රීය කර ඇත. ප්රවාහ වගුව යනු පැකට් ඉදිරියට යැවීමේ මාර්ගය ප්රශස්ත කිරීම සඳහා වන යාන්ත්රණයකි, එහිදී සියලුම නීති සැකසුම් දාමවල සම්පූර්ණ සංක්රමණයක් පළමු පැකට්ටුවට පමණක් යොදන අතර ප්රවාහයේ ඇති අනෙකුත් සියලුම පැකට් කෙලින්ම යොමු කෙරේ. වගුව ip ගෝලීය { ප්රවාහ වගුව f { කොක්ක ඇතුල්වීමේ ප්රමුඛතා පෙරහන + 1 උපාංග = { lan3, lan0, wan } ෆ්ලෑෂ් ඕෆ්ලෝඩ් } දාමය ඉදිරියට { පෙරහන කොක්ක ඉදිරියට ප්රමුඛතා පෙරහන වර්ගය; ප්රතිපත්තිය පිළිගන්න; ip ප්රොටෝකෝලය { tcp, udp } ප්රවාහය එකතු කරන්න @f } දාම පළ කිරීම { වර්ගය nat කොක්ක postrouting ප්රමුඛතා පෙරහන; ප්රතිපත්තිය පිළිගන්න; oifname "wan" වෙස් මුහුණු } }
- වගුවකට හිමිකරු ධජයක් ඇමිණීම සඳහා සහය එක් කරන ලද අතර, එමඟින් ක්රියාවලියක් මගින් වගුවේ සුවිශේෂී භාවිතය සහතික කෙරේ. ක්රියාවලියක් අවසන් වූ විට, සම්බන්ධිත වගුව ස්වයංක්රීයව මකා දමනු ලැබේ. ක්රියාවලි තොරතුරු රීති ඩම්ප් එකේ අදහස් දැක්වීමක් ලෙස පෙන්වනු ලැබේ: වගුව ip x { # progname nft flags owner chain y { type filter hook input priority filter; policy accept; counter packets 1 bytes 309 } }
- IEEE 802.1ad (VLAN stacking හෝ QinQ) පිරිවිතර සඳහා සහය එක් කරන ලද අතර, එය තනි ඊතර්නෙට් රාමුවකට බහු VLAN ටැග් ආදේශ කිරීමේ මාධ්යයන් නිර්වචනය කරයි. උදාහරණයක් ලෙස, බාහිර ඊතර්නෙට් රාමු වර්ගය 8021ad සහ vlan id=342 පරීක්ෂා කිරීමට, ඔබට ඉදිකිරීම් භාවිතා කළ හැකිය ... ඊතර් වර්ගය 802.1ad vlan id 342 බාහිර ඊතර්නෙට් රාමු වර්ගය 8021ad/vlan id=1 පරීක්ෂා කිරීමට, 802.1q/vlan id=2 කැදවා, IP පැකට්ටුව තවදුරටත් සංග්රහ කරන්න: ... ඊතර් වර්ගය 8021ad vlan id 1 vlan වර්ගය 8021q vlan id 2 vlan වර්ගයේ ip කවුන්ටරය
- ඒකාබද්ධ cgroups v2 ධූරාවලිය භාවිතයෙන් සම්පත් කළමනාකරණය සඳහා සහාය එකතු කර ඇත. cgroups v2 සහ v1 අතර ඇති ප්රධාන වෙනස වන්නේ CPU සම්පත් වෙන් කිරීම, මතක කළමනාකරණය සහ I/O සඳහා වෙනම ධූරාවලියක් වෙනුවට, සියලු සම්පත් වර්ග සඳහා පොදු cgroups ධූරාවලියක් භාවිතා කිරීමයි. උදාහරණයක් ලෙස, cgroupv2 හි පළමු මට්ටමේ සොකට් එකක මුතුන් මිත්තන් "system.slice" ආවරණයට ගැලපෙනවාද යන්න පරීක්ෂා කිරීමට, ඔබට පහත ගොඩනැගීම භාවිතා කළ හැකිය: ... socket cgroupv2 මට්ටම 1 "system.slice"
- SCTP පැකට් වල සංරචක පරීක්ෂා කිරීමේ හැකියාව එකතු කරන ලදී (ක්රියාකාරිත්වයට අවශ්ය ක්රියාකාරීත්වය කර්නලයේ දිස්වනු ඇත. Linux 5.14). උදාහරණයක් ලෙස, පැකට්ටුවක 'දත්ත' වර්ගය සහ 'වර්ගය' ක්ෂේත්රය සහිත කැබැල්ලක් තිබේදැයි පරීක්ෂා කිරීමට: … sctp කොටස දත්ත පවතී … sctp කොටස දත්ත වර්ගය 0
- "-f" ධජය භාවිතයෙන් නීති පූරණය කිරීමේ වේගය දළ වශයෙන් දෙගුණ කර ඇත. රීති ලැයිස්තු ප්රතිදානය ද වේගවත් කර ඇත.
- ධජවල බිටු සැකසීම පරීක්ෂා කිරීමේ සංයුක්ත ආකාරයක් සපයා ඇත. උදාහරණයක් ලෙස, snat සහ dnat තත්ව බිටු සකසා නොමැති බව පරීක්ෂා කිරීමට, ඔබට නියම කළ හැකිය: ... ct status ! snat,dnat syn bit syn,ack bit mask හි සකසා ඇති බව පරීක්ෂා කිරීමට: ... tcp flags syn / syn,ack fin සහ rst bit syn,ack,fin,rst bit mask හි සකසා නොමැති බව පරීක්ෂා කිරීමට: ... tcp flags != fin,rst / syn,ack,fin,rst
- "verdict" මූල පදය දැන් set/map සඳහා අර්ථ දැක්වීම් වර්ගයෙහි අවසර දී ඇත: සිතියම xm එකතු කරන්න { typeof iifname . ip protocol . th dport : verdict ;}
මූලාශ්රය: opennet.ru
