Објављено је издање пакетног филтера нфтаблес 1.0.1 које обједињује интерфејсе за филтрирање пакета за ИПв4, ИПв6, АРП и мрежне мостове (са циљем замене иптаблес, ип6табле, арптаблес и ебтаблес). Промене потребне да би нфтаблес 1.0.1 издање функционисало укључене су у Линук кернел 5.16-рц1.
Пакет нфтаблес укључује компоненте филтера пакета које се покрећу у корисничком простору, док рад на нивоу кернела обезбеђује подсистем нф_таблес, који је део Линук кернела од издања 3.13. Ниво кернела обезбеђује само генерички интерфејс независан од протокола који обезбеђује основне функције за издвајање података из пакета, извођење операција са подацима и контролу тока.
Правила филтрирања и руковаоци специфични за протокол се компајлирају у бајткод у корисничком простору, након чега се овај бајт код учитава у језгро помоћу Нетлинк интерфејса и извршава у кернелу у специјалној виртуелној машини која подсећа на БПФ (Беркелеи Пацкет Филтерс). Овај приступ вам омогућава да значајно смањите величину кода за филтрирање који ради на нивоу кернела и преместите све функције рашчлањивања правила и логике за рад са протоколима у кориснички простор.
Главне иновације:
- Смањена потрошња меморије при учитавању великих скупова и листа мапа.
- Убрзано је поновно учитавање листа скупова и мапа.
- Излаз одабраних табела и ланаца у великим скуповима правила је убрзан. На пример, време извршења команде „нфт лист рулесет“ за приказ скупа правила са 100 хиљада редова је 3.049 секунди, а када се изводе само табеле нат и филтер („нфт лист табле нат“, „нфт лист табле филтер ”) се смањује на 1.969 и 0.697 секунди.
- Извршавање упита са опцијом „--терсе“ је убрзано када се обрађују правила са великим листама скупова и мапа.
- Могуће је филтрирати саобраћај из „егресс” ланца, који се обрађује на истом нивоу као и излазни руковалац у нетдев ланцу (егресс хоок), тј. у фази када драјвер прима пакет из мрежног стека кернела. табле нетдев филтер { цхаин егресс { типе филтер хоок егресс девицес = { етх0, етх1 } приоритет 0; мета приоритет сет ип саддр мап { 192.168.10.2 : абцд:2, 192.168.10.3 : абцд:3 } } }
- Омогућава подударање и модификацију бајтова у заглављу и садржаја пакета на датом офсету. # нфт додај правило к и @их,32,32 0к14000000 цоунтер # нфт додај правило к и @их,32,32 сет 0к14000000 цоунтер
Извор: опеннет.ру