Објављен је филтер пакета nftables 0.9.9. Он обједињује интерфејсе за филтрирање пакета за IPv4, IPv6, ARP и мрежне мостове (намењене као замена за iptables, ip6table, arptables и ebtables). Пратећа библиотека libnftnl 1.2.0, која пружа API ниског нивоа за интеракцију са подсистемом nf_tables, објављена је истовремено. Промене потребне за nftables 0.9.9 су укључене у језгро. Linux 5.13-rc1.
Пакет nftables садржи компоненте филтера пакета које раде у корисничком простору, док рад на нивоу језгра обезбеђује подсистем nf_tables, који је део језгра. Linux Од верзије 3.13, на нивоу језгра је обезбеђен само генерички протокол-независан интерфејс, који пружа основну функционалност за издвајање података из пакета, обављање операција са подацима и контролу тока.
Сама правила филтрирања и обрађивачи специфични за протокол се компајлирају у бајткод у корисничком простору, након чега се овај бајткод учитава у језгро користећи Netlink интерфејс и извршава у језгру у посебном Виртуелна машина, што подсећа на BPF (Berkeley Packet Filters). Овај приступ омогућава значајно смањење величине кода за филтрирање који се извршава на нивоу језгра и премешта сву анализу правила и логику протокола у кориснички простор.
Главне иновације:
- Имплементирана је могућност премештања обраде табеле протока на страну мрежног адаптера, омогућена коришћењем ознаке 'оффлоад'. Фловтабле је механизам за оптимизацију путање преусмеравања пакета, у коме се комплетан пролаз свих ланаца обраде правила примењује само на први пакет, а сви остали пакети у току се директно прослеђују. табле ип глобал { фловтабле ф { филтер приоритета уласка у закачицу + 1 уређаји = { лан3, лан0, ван } заставице истоварити } ланац унапред { тип филтер закачити филтер приоритета унапред; политика прихватити; ип протокол { тцп, удп } ток адд @ф } ланац пост { типе нат хоок приоритетни филтер за построутинг; политика прихватити; оифнаме "ван" маскенбал } }
- Додата подршка за причвршћивање заставице власника на табелу како би се осигурало ексклузивно коришћење табеле од стране процеса. Када се процес заврши, табела повезана са њим се аутоматски брише. Информације о процесу се приказују у думпу правила у облику коментара: табела ип к { # име програма нфт заставице ланац власника и { тип филтер кука улазни приоритетни филтер; политика прихватити; бројач пакета 1 бајт 309 } }
- Додата подршка за ИЕЕЕ 802.1ад спецификацију (ВЛАН стацкинг или КинК), која дефинише средство за замену више ВЛАН ознака у један Етхернет оквир. На пример, да бисте проверили тип спољног Етернет оквира 8021ад и влан ид=342, можете користити конструкцију ... етер типа 802.1ад влан ид 342 да проверите спољни тип Етернет оквира 8021ад/влан ид=1, угнежђени 802.1 к/влан ид=2 и даље енкапсулација ИП пакета: ... етер тип 8021ад влан ид 1 влан тип 8021к влан ид 2 влан тип ип бројач
- Додата подршка за управљање ресурсима помоћу обједињене хијерархије цгроупс в2. Кључна разлика између цгроупс в2 и в1 је употреба заједничке хијерархије цгроупс за све типове ресурса, уместо засебних хијерархија за доделу ЦПУ ресурса, за регулисање потрошње меморије и за И/О. На пример, да бисте проверили да ли предак сокета на првом нивоу цгроупв2 одговара маски „систем.слице“, можете користити конструкцију: ... соцкет цгроупв2 ниво 1 „систем.слице“
- Додата је могућност провере компоненти SCTP пакета (функционалност потребна за рад ће се појавити у језгру Linux 5.14). На пример, да бисте проверили да ли пакет садржи блок типа „data“ и пољем „type“: … sctp chunk data exists … sctp chunk data type 0
- Извршење операције учитавања правила је убрзано приближно два пута коришћењем ознаке „-ф“. Излаз листе правила је такође убрзан.
- Обезбеђен је компактни образац за проверу да ли су битови заставице постављени. На пример, да бисте проверили да битови статуса снат и днат нису подешени, можете навести: ... цт статус ! снат,днат да проверите да ли је син бит постављен у битмаск син,ацк: ... тцп заставице син / син,ацк да проверите да фин и рст бит нису постављени у битмаск син,ацк,фин,рст: ... тцп заставице = фин,рст / син,ацк,фин,рст!
- Дозволите кључну реч "вердицт" у дефиницијама типа скупа/мапе: додајте мапу км { типеоф иифнаме . ип протокол тх дпорт : пресуда ;}
Извор: опеннет.ру
