Shaandhada baakadaha nftables 0.9.9 ayaa la sii daayay. Waxay mideyneysaa is-dhexgalka shaandhaynta baakadaha ee IPv4, IPv6, ARP, iyo buundooyinka shabakadda (oo loogu talagalay beddelka iptables, ip6table, arptables, iyo ebtables). Maktabadda libnftnl 1.2.0 ee la socota, taas oo bixisa API heer hoose ah si loola falgalo nidaamka hoose ee nf_tables, ayaa si isku mid ah loo sii daayay. Isbeddellada loo baahan yahay nftables 0.9.9 ayaa lagu daray kernel-ka. Linux 5.13-rc1.
Xirmada nftables waxay ka kooban tahay qaybaha shaandhada baakadka ee ka shaqeeya booska isticmaalaha, halka shaqada heerka kernel-ka ay bixiso nidaamka hoose ee nf_tables, kaas oo qayb ka ah kernel-ka. Linux Tan iyo markii la sii daayay 3.13, kaliya is-dhexgal guud oo madax-bannaan oo ku salaysan hab-maamuuska ayaa la bixiyaa heerka kernel-ka, kaas oo bixiya shaqo aasaasi ah oo loogu talagalay soo saarista xogta baakadaha, fulinta hawlgallada xogta, iyo xakamaynta socodka.
Shaandheyntu lafteeda ayaa nidaamisa, hawlwadeennada gaarka u ah hab-maamuuskana waxaa loo soo ururiyaa bytecode booska isticmaalaha, ka dibna bytecode-kan waxaa lagu shubaa kernel-ka iyadoo la adeegsanayo interface-ka Netlink waxaana lagu sameeyaa kernel-ka gaar ahaan mashiinka dalwaddii, oo xasuusinaya BPF (Berkeley Packet Filters). Habkani wuxuu u oggolaanayaa hoos u dhac weyn oo ku yimaada cabbirka koodka shaandhaynta ee ka shaqeynaya heerka kernel-ka wuxuuna u dhaqaajiyaa dhammaan falanqaynta xeerarka iyo macquulka hab-maamuuska booska isticmaalaha.
Hal-abuurka ugu muhiimsan:
- Kartida lagu wareejin karo habaynta socodka dhinaca isku xidhka adabtarada ayaa la hirgaliyay, iyada oo la adeegsanayo calanka 'offload'. Flowtable waa hab lagu wanaajiyo dariiqa wareejinta baakidhka, kaas oo marinka dhammaystiran ee dhammaan silsiladaha samaynta qaanuunka lagu dabaqo oo keliya baakidhka ugu horreeya, dhammaan baakadaha kale ee qulqulka ayaa si toos ah loogu gudbiyaa. miiska ip caalami ah {flowtable f { hook ingress mudnaanta filter + 1 qalab = { lan3, lan0, wan} calanka offload } silsilad hore {nooca filter jillaab horudhac filter mudnaanta; siyaasad aqbali; ip protocol {tcp, udp} socodka ku dar @f} silsilad boostada {nooca nat hook postrouting filter mudnaanta; siyaasad aqbali; oifname "wan" masquerade } }
- Taageero lagu daray in lagu lifaaqo calanka milkiilaha si loo hubiyo isticmaalka gaarka ah ee miiska habsocod. Marka hawshu dhamaato, shaxda laxiriirta si toos ah ayaa loo tirtiraa. Macluumaad ku saabsan habka waxaa lagu soo bandhigay qawaaniinta loo daadiyo qaab faallo ah: miiska ip x {# progname nft calanka silsiladda milkiilaha y {nooca filter galinta mudnaanta filtarka; siyaasad aqbali; xirmooyinka miiska 1 bytes 309 } }
- Taageerada lagu daray IEEE 802.1ad specification (VLAN stacking or QinQ), kaas oo qeexaya habka loogu badali karo calaamado badan oo VLAN ah oo lagu beddelayo halbeeg Ethernet ah. Tusaale ahaan, si aad u hubiso nooca ka baxsan Ethernet frame 8021ad iyo vlan id=342, waxaad isticmaali kartaa dhismaha ... ether type 802.1ad vlan id 342 si aad u hubiso nooca dibadda ee Ethernet frame 8021ad/vlan id=1, buul 802.1 q/vlan id=2 iyo xirmo kale oo IP ah: ... nooca ether 8021ad vlan id 1 vlan nooca 8021q vlan id 2 vlan nooca ip counter
- Taageero lagu daray maaraynta agabka iyadoo la adeegsanayo kooxaha kala sareynta midaysan v2. Farqiga ugu muhiimsan ee u dhexeeya kooxaha v2 iyo v1 waa adeegsiga kala sareynta kooxaha guud ee dhammaan noocyada agabka, halkii ay ka ahaan lahaayeen kala sareynta kala sareynta qoondaynta agabka CPU, habaynta isticmaalka xusuusta, iyo I/O. Tusaale ahaan, si loo hubiyo in awoowaha godka heerka koowaad cgroupv2 uu ku habboon yahay maaskarada "system.slice", waxaad isticmaali kartaa dhismaha: ... socket cgroupv2 heerka 1 "system.slice"
- Добавлена возможность проверки составных частей пакетов SCTP (необходимая для работы функциональность появится в ядре Linux 5.14). Например, для проверки наличия в пакете chunk-а с типом ‘data’ и полем ‘type’: … sctp chunk data exists … sctp chunk data type 0
- Fulinta hawlgalka rarista qaanuunka ayaa la dardar geliyay ku dhawaad laba jeer iyadoo la adeegsanayo calanka “-f”. Waxa kale oo la dedejiyay soo saarista liiska xeerarka.
- Foom kooban oo lagu hubinayo in qaniinyada calanka la dhigay iyo in kale ayaa la bixiyay. Tusaale ahaan, si aad u hubiso in heerka snat iyo dnat aan la dejin, waxaad qeexi kartaa: ... ct status ! snat,dnat si aad u hubiso in syn bit-ku uu ku jiro bitmask syn,ack: ... tcp flags syn / syn,ack si loo hubiyo in fin iyo fir-fircooni aanay ku jirin bitmask syn,ack,fin, first: ... tcp calanka
- Oggolow ereyga muhiimka ah ee "xukun" ee qeexidda nooca/maabka: ku dar khariidadda xm {typeof iifname . borotokoolka ip th dport: xukun;}
Source: opennet.ru
