பாக்கெட் வடிகட்டி வெளியீடு , IPv6, IPv4, ARP மற்றும் நெட்வொர்க் பிரிட்ஜ்களுக்கான பாக்கெட் வடிகட்டுதல் இடைமுகங்களை ஒன்றிணைப்பதன் மூலம் iptables, ip6table, arptables மற்றும் ebtables ஆகியவற்றிற்கு மாற்றாக உருவாகிறது. nftables தொகுப்பில் பயனர் இடத்தில் இயங்கும் பாக்கெட் வடிகட்டி கூறுகள் உள்ளன, அதே சமயம் கர்னல்-நிலை வேலை nf_tables துணை அமைப்பால் வழங்கப்படுகிறது, இது 3.13 வெளியீட்டில் இருந்து லினக்ஸ் கர்னலின் ஒரு பகுதியாக உள்ளது. nftables 0.9.3 வெளியீடு செயல்படத் தேவையான மாற்றங்கள் வரவிருக்கும் Linux 5.5 கர்னல் கிளையில் சேர்க்கப்பட்டுள்ளன.
கர்னல் நிலை ஒரு பொதுவான நெறிமுறை-சுயாதீன இடைமுகத்தை மட்டுமே வழங்குகிறது, இது பாக்கெட்டுகளிலிருந்து தரவைப் பிரித்தெடுப்பதற்கும், தரவு செயல்பாடுகளைச் செய்வதற்கும் மற்றும் ஓட்டக் கட்டுப்பாடுக்கும் அடிப்படை செயல்பாடுகளை வழங்குகிறது. வடிகட்டுதல் தர்க்கம் மற்றும் நெறிமுறை-குறிப்பிட்ட ஹேண்ட்லர்கள் பயனர் இடத்தில் பைட்கோடாக தொகுக்கப்படுகின்றன, அதன் பிறகு இந்த பைட்கோடு நெட்லிங்க் இடைமுகத்தைப் பயன்படுத்தி கர்னலில் ஏற்றப்பட்டு, பிபிஎஃப் (பெர்க்லி பாக்கெட் வடிகட்டிகள்) நினைவூட்டும் சிறப்பு மெய்நிகர் இயந்திரத்தில் செயல்படுத்தப்படுகிறது. இந்த அணுகுமுறை கர்னல் மட்டத்தில் இயங்கும் வடிகட்டுதல் குறியீட்டின் அளவைக் கணிசமாகக் குறைக்கவும், நெறிமுறைகளுடன் பணிபுரியும் நெறிமுறைகளைப் பாகுபடுத்தும் அனைத்து செயல்பாடுகளையும் பயனர் இடத்திற்கு நகர்த்தவும் உங்களை அனுமதிக்கிறது.
முக்கிய கண்டுபிடிப்புகள்:
- நேரத்திற்கு ஏற்ப பாக்கெட்டுகளை பொருத்துவதற்கான ஆதரவு. விதி தூண்டப்படும் நேரம் மற்றும் தேதி வரம்புகள் இரண்டையும் நீங்கள் வரையறுக்கலாம் மற்றும் வாரத்தின் தனிப்பட்ட நாட்களில் தூண்டுதலை உள்ளமைக்கலாம். எபோகல் நேரத்தை நொடிகளில் காட்ட "-T" என்ற புதிய விருப்பமும் சேர்க்கப்பட்டது.
மெட்டா நேரம் \»2019-12-24 16:00\" — \»2020-01-02 7:00\"
மெட்டா மணிநேரம் \"17:00\" - \"19:00\"
மெட்டா நாள் \"வெள்ளி\" - SELinux மதிப்பெண்களை மீட்டெடுப்பதற்கும் சேமிப்பதற்கும் ஆதரவு (secmark).
ct செக்மார்க் செட் மெட்டா செக்மார்க்
மெட்டா செக்மார்க் செட் ct செக்மார்க் - ஒத்திசைவு வரைபட பட்டியல்களுக்கான ஆதரவு, ஒரு பின்தளத்தில் ஒன்றுக்கு மேற்பட்ட விதிகளை வரையறுக்க உங்களை அனுமதிக்கிறது.
அட்டவணை ip foo {
ஒத்திசைவு https-synproxy {
mss 1460
wscale 7
நேர முத்திரை சாக்கு-பெர்ம்
}synproxy other-synproxy {
mss 1460
wscale 5
}சங்கிலி முன் {
வகை வடிகட்டி ஹூக் முன்னுரிமை கச்சா கொள்கை ஏற்றுக்கொள்வது;
tcp dport 8888 tcp கொடிகள் syn notrack
}சங்கிலி பட்டை {
வகை வடிகட்டி ஹூக் முன்னோக்கி முன்னுரிமை வடிகட்டி; கொள்கை ஏற்றுக்கொள்வது;
ct நிலை தவறானது, ட்ராக் செய்யப்படாத சின்ப்ராக்ஸி பெயர் ip saddr வரைபடம் { 192.168.1.0/24 : “https-synproxy”, 192.168.2.0/24 : “other-synproxy” }
}
} - தொகுப்பு கூறுகளை பாக்கெட் செயலாக்க விதிகளிலிருந்து மாறும் வகையில் அகற்றும் திறன்.
nft விதியைச் சேர்... @set5 {ip6 saddr ஐ நீக்கவும். ip6 daddr}
- நெட்வொர்க் பிரிட்ஜ் இடைமுக மெட்டாடேட்டாவில் வரையறுக்கப்பட்ட ஐடி மற்றும் புரோட்டோகால் மூலம் VLAN மேப்பிங்கிற்கான ஆதரவு;
மெட்டா ibrpvid 100
மெட்டா ibrvproto vlan - விதிகளைக் காண்பிக்கும் போது செட் செட் கூறுகளை விலக்க விருப்பம் "-t" ("--terse"). "nft -t list ruleset"ஐ இயக்கினால் வெளிவரும்:
அட்டவணை ip x {
y { அமை
ipv4_addr என டைப் செய்யவும்
}
}மற்றும் "nft பட்டியல் விதிகள்" உடன்
அட்டவணை ip x {
y { அமை
ipv4_addr என டைப் செய்யவும்
உறுப்புகள் = { 192.168.10.2, 192.168.20.1,
192.168.4.4, 192.168.2.34 }
}
} - பொதுவான வடிகட்டுதல் விதிகளை இணைக்க நெட்தேவ் சங்கிலிகளில் ஒன்றுக்கு மேற்பட்ட சாதனங்களைக் குறிப்பிடும் திறன் (கர்னல் 5.5 உடன் மட்டுமே வேலை செய்யும்).
netdev x அட்டவணையைச் சேர்க்கவும்
நெட்தேவ் xy {\ சங்கிலியைச் சேர்
வகை வடிகட்டி ஹூக் நுழைவு சாதனங்கள் = { eth0, eth1 } முன்னுரிமை 0;
} - தரவு வகைகளின் விளக்கங்களைச் சேர்க்கும் திறன்.
# nft ipv4_addr ஐ விவரிக்கிறது
தரவு வகை ipv4_addr (IPv4 முகவரி) (அடிப்படை முழு எண்), 32 பிட்கள் - லிப்ரெட்லைனுக்கு பதிலாக லினாய்ஸ் நூலகத்துடன் CLI இடைமுகத்தை உருவாக்கும் திறன்.
./configure --with-cli=linenoise
ஆதாரம்: opennet.ru