پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > nftables پیکٹ فلٹر 1.0.2 ریلیز

nftables پیکٹ فلٹر 1.0.2 ریلیز

پیکٹ فلٹر nftables 1.0.2 کی ریلیز شائع کی گئی ہے، IPv4، IPv6، ARP اور نیٹ ورک برجز کے لیے پیکٹ فلٹرنگ انٹرفیس کو متحد کرتے ہوئے (جس کا مقصد iptables، ip6table، arptables اور ebtables کو تبدیل کرنا ہے)۔ کام کرنے کے لیے nftables 1.0.2 ریلیز کے لیے درکار تبدیلیاں لینکس کرنل 5.17-rc میں شامل ہیں۔

nftables پیکج میں پیکٹ فلٹر کے اجزاء شامل ہیں جو صارف کی جگہ پر چلتے ہیں، جبکہ کرنل لیول کا کام nf_tables سب سسٹم کے ذریعے فراہم کیا جاتا ہے، جو کہ ریلیز 3.13 کے بعد سے لینکس کرنل کا حصہ ہے۔ کرنل لیول صرف ایک عام پروٹوکول سے آزاد انٹرفیس فراہم کرتا ہے جو پیکٹوں سے ڈیٹا نکالنے، ڈیٹا آپریشنز کرنے، اور فلو کنٹرول کے لیے بنیادی کام فراہم کرتا ہے۔

فلٹرنگ کے قواعد اور پروٹوکول سے متعلق مخصوص ہینڈلرز کو صارف کی جگہ میں بائٹ کوڈ میں مرتب کیا جاتا ہے، جس کے بعد اس بائی کوڈ کو نیٹ لنک انٹرفیس کا استعمال کرتے ہوئے کرنل میں لوڈ کیا جاتا ہے اور BPF (برکلے پیکٹ فلٹرز) کی یاد دلانے والی خصوصی ورچوئل مشین میں کرنل میں عمل میں لایا جاتا ہے۔ یہ نقطہ نظر آپ کو کرنل کی سطح پر چلنے والے فلٹرنگ کوڈ کے سائز کو نمایاں طور پر کم کرنے اور پروٹوکول کے ساتھ کام کرنے کے لیے اصولوں اور منطق کو پارس کرنے کے تمام افعال کو صارف کی جگہ میں منتقل کرنے کی اجازت دیتا ہے۔

اہم اختراعات:

  • ایک رولز آپٹیمائزیشن موڈ کو شامل کیا گیا ہے، جسے نئے "-o" ("-آپٹمائز") آپشن کا استعمال کرتے ہوئے فعال کیا گیا ہے، جسے رولسیٹ فائل میں تبدیلیوں کو چیک کرنے اور اسے حقیقت میں لوڈ کیے بغیر بہتر بنانے کے لیے "--check" آپشن کے ساتھ ملایا جا سکتا ہے۔ . آپٹیمائزیشن آپ کو ملتے جلتے اصولوں کو یکجا کرنے کی اجازت دیتی ہے، مثال کے طور پر، قوانین: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 accept meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 accept ip daddr.1.1.1.1 .2.2.2.2 ip saddr 2.2.2.2 ip daddr 3.3.3.3 ڈراپ قبول کریں

    میٹا iifname میں جوڑ دیا جائے گا۔ آئی پی صدر ip daddr { eth1 . 1.1.1.1. 2.2.2.3، اخلاق 1 ۔ 1.1.1.2 2.2.2.5 } آئی پی صدر کو قبول کریں۔ ip daddr vmap { 1.1.1.1 . 2.2.2.2 : قبول کریں، 2.2.2.2 ۔ 3.3.3.3 : ڈراپ }

    مثال کے طور پر استعمال: # nft -c -o -f ruleset.test ضم کرنا: ruleset.nft:16:3-37: ip daddr 192.168.0.1 counter accept ruleset.nft:17:3-37: ip daddr 192.168.0.2 counter accept Ruleset.nft:18:3-37: ip daddr 192.168.0.3 counter اس میں قبول کریں: ip daddr { 192.168.0.1, 192.168.0.2, 192.168.0.3 } کاؤنٹر پیکٹ 0 بائٹس 0 قبول کریں

  • سیٹ لسٹیں ip اور tcp کے اختیارات کے ساتھ ساتھ sctp ٹکڑوں کی وضاحت کرنے کی صلاحیت کو نافذ کرتی ہیں: سیٹ s5 { typeof ip option ra value عناصر = { 1, 1024 } } set s7 { typeof sctp chunk init num-inbound-streams عناصر = { 1.
  • TCP آپشنز فاسٹوپین، md5sig اور mptcp کے لیے سپورٹ شامل کر دی گئی۔
  • میپنگز میں mp-tcp ذیلی قسم کے استعمال کے لیے تعاون شامل کیا گیا: tcp آپشن mptcp ذیلی قسم 1
  • بہتر کرنل سائیڈ فلٹرنگ کوڈ۔
  • Flowtable کو اب JSON فارمیٹ کے لیے مکمل تعاون حاصل ہے۔
  • ایتھرنیٹ فریم میچنگ آپریشنز میں "مسترد" ایکشن کو استعمال کرنے کی صلاحیت فراہم کی گئی ہے۔ ایتھر صدر aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 مسترد

ماخذ: opennet.ru

نیا تبصرہ شامل کریں