ослобађање пакетног филтера , који се развија као замена за иптаблес, ип6табле, арптаблес и ебтаблес обједињавањем интерфејса за филтрирање пакета за ИПв4, ИПв6, АРП и мрежне мостове. Пакет нфтаблес укључује компоненте филтера пакета које се покрећу у корисничком простору, док рад на нивоу кернела обезбеђује подсистем нф_таблес, који је део Линук кернела од издања 3.13. Промене потребне да би нфтаблес 0.9.3 издање радило укључене су у предстојећу грану језгра Линук 5.5.
Ниво кернела обезбеђује само генерички интерфејс независан од протокола који обезбеђује основне функције за издвајање података из пакета, извођење операција са подацима и контролу тока. Сама логика филтрирања и обрађивачи специфични за протокол се компајлирају у бајткод у корисничком простору, након чега се овај бајт код учитава у језгро помоћу Нетлинк интерфејса и извршава у специјалној виртуелној машини која подсећа на БПФ (Беркелеи Пацкет Филтерс). Овај приступ вам омогућава да значајно смањите величину кода за филтрирање који ради на нивоу кернела и преместите све функције рашчлањивања правила и логике за рад са протоколима у кориснички простор.
Главне иновације:
- Подршка за упаривање пакета по времену. Можете дефинисати и временске и датумске опсеге у којима ће се правило покренути и конфигурисати покретање за поједине дане у недељи. Такође је додата нова опција "-Т" за приказ епохалног времена у секундама.
мета тиме \»2019-12-24 16:00\" — \»2020-01-02 7:00\"
мета сат \"17:00\" - \"19:00\"
мета дан \"пет\" - Подршка за опоравак и чување СЕЛинук ознака (сецмарк).
цт сецмарк сет мета сецмарк
мета сецмарк сет цт сецмарк - Подршка за листе синпрокси мапа, омогућавајући вам да дефинишете више од једног правила по позадини.
табле ип фоо {
синпроки хттпс-синпроки {
мсс 1460
всцале 7
временска ознака сацк-перм
}синпроки отхер-синпроки {
мсс 1460
всцале 5
}ланац пре {
тип филтер кука пре-роутинг приоритет сирово; политика прихватити;
тцп дпорт 8888 тцп флагс син нотрацк
}ланчана шипка {
тип филтер кука унапред приоритетни филтер; политика прихватити;
цт стање је неважеће, непраћено име синпроксија ип саддр мапа { 192.168.1.0/24 : “хттпс-синпроки”, 192.168.2.0/24 : “отхер-синпроки” }
}
} - Могућност динамичког уклањања елемената скупа из правила обраде пакета.
нфт додај правило ... избриши @сет5 { ип6 саддр . ип6 тата}
- Подршка за ВЛАН мапирање према ИД-у и протоколу дефинисаном у метаподацима интерфејса мрежног моста;
мета ибрпвид 100
мета ибрвпрото влан - Опција "-т" ("--тарсе") за искључивање елемената скупова при приказивању правила. Покретање "нфт -т лист правила" ће дати:
табела ип к {
постави и {
укуцајте ипв4_аддр
}
}И са „нфт скупом правила листе“
табела ип к {
постави и {
укуцајте ипв4_аддр
елементи = { 192.168.10.2, 192.168.20.1,
192.168.4.4, 192.168.2.34 }
}
} - Могућност специфицирања више од једног уређаја у нетдев ланцима (ради само са кернелом 5.5) да се комбинују уобичајена правила филтрирања.
додати табелу нетдев к
додај ланац нетдев к и { \
типе филтер хоок ингресс девицес = { етх0, етх1 } приоритет 0;
} - Могућност додавања описа типова података.
# нфт описује ипв4_аддр
тип података ипв4_аддр (ИПв4 адреса) (цео број основног типа), 32 бита - Способност да се изгради ЦЛИ интерфејс са библиотеком линеноисе уместо либреадлине.
./цонфигуре --витх-цли=линеноисе
Извор: опеннет.ру