ProHoster > Blog > lajme në internet > Lëshimi i filtrit të paketave nftables 0.9.9

Lëshimi i filtrit të paketave nftables 0.9.9

Filtri i paketave nftables 0.9.9 është publikuar. Ai unifikon ndërfaqet e filtrimit të paketave për IPv4, IPv6, ARP dhe urat e rrjetit (të synuara si zëvendësim për iptables, ip6table, arptables dhe ebtables). Biblioteka shoqëruese libnftnl 1.2.0, e cila ofron një API të nivelit të ulët për bashkëveprimin me nënsistemin nf_tables, është publikuar njëkohësisht. Ndryshimet e kërkuara për nftables 0.9.9 janë përfshirë në bërthamë. Linux 5.13-rc1.

Paketa nftables përmban komponentët e filtrit të paketave që veprojnë në hapësirën e përdoruesit, ndërsa puna në nivel kernel sigurohet nga nënsistemi nf_tables, i cili është pjesë e kernelit. Linux Që nga versioni 3.13, në nivelin e bërthamës ofrohet vetëm një ndërfaqe gjenerike e pavarur nga protokolli, duke ofruar funksionalitet bazë për nxjerrjen e të dhënave nga paketat, kryerjen e operacioneve të të dhënave dhe kontrollin e rrjedhës.

Vetë rregullat e filtrimit dhe trajtuesit specifikë të protokollit përpilohen në kod bajtesh në hapësirën e përdoruesit, pas së cilës ky kod bajtesh ngarkohet në kernel duke përdorur ndërfaqen Netlink dhe ekzekutohet në kernel në një mënyrë të veçantë. makinë virtuale, që të kujton BPF (Berkeley Packet Filters). Kjo qasje lejon një reduktim të ndjeshëm në madhësinë e kodit të filtrimit që ekzekutohet në nivelin e bërthamës dhe zhvendos të gjithë analizimin e rregullave dhe logjikën e protokollit në hapësirën e përdoruesit.

Risitë kryesore:

  • MundĂ«sia pĂ«r tĂ« zhvendosur pĂ«rpunimin e tabelĂ«s sĂ« rrjedhĂ«s nĂ« anĂ«n e pĂ«rshtatĂ«sit tĂ« rrjetit Ă«shtĂ« zbatuar, e mundĂ«suar duke pĂ«rdorur flamurin 'offload'. Flowtable Ă«shtĂ« njĂ« mekanizĂ«m pĂ«r optimizimin e rrugĂ«s sĂ« ridrejtimit tĂ« paketave, nĂ« tĂ« cilin kalimi i plotĂ« i tĂ« gjithĂ« zinxhirĂ«ve tĂ« pĂ«rpunimit tĂ« rregullave zbatohet vetĂ«m nĂ« paketĂ«n e parĂ«, dhe tĂ« gjitha paketat e tjera nĂ« rrjedhĂ« pĂ«rcillen drejtpĂ«rdrejt. ip tabela globale { tabela e rrjedhĂ«s f { filtri i pĂ«rparĂ«sisĂ« sĂ« hyrjes sĂ« fiksimit + 1 pajisje = { lan3, lan0, wan } shkarkimi i flamujve } zinxhiri pĂ«rpara { lloji i filtrit tĂ« fiksimit tĂ« pĂ«rparĂ«sisĂ« pĂ«rpara; pranimi i politikĂ«s; ip protocol { tcp, udp } flow add @f } chain post { type nat hook postrouting priority filter; pranimi i politikĂ«s; maskaradĂ« oifname "wan" } }
  • MbĂ«shtetje e shtuar pĂ«r bashkĂ«ngjitjen e njĂ« flamuri pronari nĂ« njĂ« tabelĂ« pĂ«r tĂ« siguruar pĂ«rdorimin ekskluziv tĂ« tabelĂ«s nga njĂ« proces. Kur njĂ« proces pĂ«rfundon, tabela e lidhur me tĂ« fshihet automatikisht. Informacioni rreth procesit shfaqet nĂ« deponimin e rregullave nĂ« formĂ«n e njĂ« komenti: tabela ip x { # progname nft flags pronar zinxhir y { type filtri hook input priority filter; pranimi i politikĂ«s; paketat kundĂ«r 1 bajt 309 } }
  • MbĂ«shtetje e shtuar pĂ«r specifikimin IEEE 802.1ad (VLAN stacking ose QinQ), i cili pĂ«rcakton njĂ« mjet pĂ«r zĂ«vendĂ«simin e etiketave tĂ« shumta VLAN nĂ« njĂ« kornizĂ« tĂ« vetme Ethernet. PĂ«r shembull, pĂ«r tĂ« kontrolluar llojin e kornizĂ«s sĂ« jashtme Ethernet 8021ad dhe vlan id=342, mund tĂ« pĂ«rdorni konstruksionin ... tipi ether 802.1ad vlan id 342 pĂ«r tĂ« kontrolluar llojin e jashtĂ«m tĂ« kornizĂ«s Ethernet 8021ad/vlan id=1, i vendosur 802.1 q/vlan id=2 dhe mĂ« tej enkapsulimi i paketĂ«s IP: ... tipi eter 8021ad vlan id 1 tip vlan 8021q vlan id 2 vlan tip ip counter
  • MbĂ«shtetje e shtuar pĂ«r menaxhimin e burimeve duke pĂ«rdorur cgroups tĂ« hierarkisĂ« sĂ« unifikuar v2. Dallimi kryesor midis cgroups v2 dhe v1 Ă«shtĂ« pĂ«rdorimi i njĂ« hierarkie tĂ« pĂ«rbashkĂ«t cgroups pĂ«r tĂ« gjitha llojet e burimeve, nĂ« vend tĂ« hierarkive tĂ« veçanta pĂ«r shpĂ«rndarjen e burimeve tĂ« CPU, pĂ«r rregullimin e konsumit tĂ« memories dhe pĂ«r I/O. PĂ«r shembull, pĂ«r tĂ« kontrolluar nĂ«se paraardhĂ«si i njĂ« prize nĂ« nivelin e parĂ« cgroupv2 pĂ«rputhet me maskĂ«n "system.slice", mund tĂ« pĂ«rdorni konstruksionin: ... fole cgroupv2 niveli 1 "system.slice"
  • U shtua mundĂ«sia pĂ«r tĂ« kontrolluar pĂ«rbĂ«rĂ«sit e paketave SCTP (funksionaliteti i kĂ«rkuar pĂ«r funksionim do tĂ« shfaqet nĂ« bĂ«rthamĂ«) Linux 5.14). PĂ«r shembull, pĂ«r tĂ« kontrolluar nĂ«se njĂ« paketĂ« pĂ«rmban njĂ« copĂ« tĂ« dhĂ«nash me llojin 'tĂ« dhĂ«na' dhe fushĂ«n 'type': 
 tĂ« dhĂ«nat e copĂ«s sctp ekzistojnĂ« 
 tĂ« dhĂ«nat e copĂ«s sctp tĂ« dhĂ«nash tĂ« llojit 0
  • Ekzekutimi i operacionit tĂ« ngarkimit tĂ« rregullave Ă«shtĂ« pĂ«rshpejtuar afĂ«rsisht dy herĂ« duke pĂ«rdorur flamurin “-f”. ËshtĂ« pĂ«rshpejtuar edhe prodhimi i listĂ«s sĂ« rregullave.
  • Ofrohet njĂ« formĂ« kompakte pĂ«r tĂ« kontrolluar nĂ«se bitet e flamurit janĂ« vendosur. PĂ«r shembull, pĂ«r tĂ« kontrolluar qĂ« pjesĂ«t e statusit snat dhe dnat nuk janĂ« vendosur, mund tĂ« specifikoni: ... statusi ct ! snat,dnat pĂ«r tĂ« kontrolluar nĂ«se biti syn Ă«shtĂ« vendosur nĂ« bitmask syn,ack: ... tcp flamuj syn / syn,ack pĂ«r tĂ« kontrolluar qĂ« bit fin dhe rst nuk janĂ« vendosur nĂ« bitmask syn,ack,fin,rst: ... flamuj tcp ! = fin,rst / syn,ack,fin,rst
  • Lejo fjalĂ«n kyçe "vendim" nĂ« pĂ«rkufizimet e llojit tĂ« grupit/hartĂ«s: shtoni hartĂ«n xm { typeof iifname . protokolli ip th dport : verdikt ;}

Burimi: opennet.ru

Bleni njĂ« host tĂ« besueshĂ«m pĂ«r faqet me mbrojtje DDoS, serverĂ« VPS VDS đŸ”„ Bleni hosting tĂ« besueshĂ«m tĂ« faqeve tĂ« internetit me mbrojtje DDoS, servera VPS VDS | ProHoster