🥇nftables פּאַקאַט פילטער 1.0.0 באפרייט

די מעלדונג פון פּאַקאַט פילטער נפטאַבלעס 1.0.0 איז ארויס, יונאַפייינג פּאַקאַט פֿילטרירונג ינטערפייסיז פֿאַר IPv4, IPv6, ARP און נעץ בריקן (אַימעד צו פאַרבייַטן יפּטאַבלעס, יפּ6טאַבלע, אַרפּטאַבלעס און עבטאַבלעס). די ענדערונגען וואָס זענען פארלאנגט פֿאַר די מעלדונג פון nftables 1.0.0 צו אַרבעטן זענען אַרייַנגערעכנט אין די Linux 5.13 קערן. א באַטייַטיק ענדערונג אין די ווערסיע נומער איז נישט פארבונדן מיט קיין פונדאַמענטאַל ענדערונגען, אָבער איז בלויז אַ קאַנסאַקוואַנס פון די קאָנסיסטענט קאַנטיניויישאַן פון נאַמבערינג אין דעצימאַל נאָוטיישאַן (די פריערדיקע מעלדונג איז געווען 0.9.9).

די nftables פּעקל כולל פּאַקאַט פילטער קאַמפּאָונאַנץ וואָס לויפן אין באַניצער פּלאַץ, בשעת די קערן-מדרגה אַרבעט איז צוגעשטעלט דורך די nf_tables סאַבסיסטאַם, וואָס איז געווען טייל פון די לינוקס קערן זינט מעלדונג 3.13. דער קערן מדרגה גיט בלויז אַ דזשאַנעריק פּראָטאָקאָל-פרייַ צובינד וואָס גיט יקערדיק פאַנגקשאַנז פֿאַר יקסטראַקטינג דאַטן פון פּאַקיץ, פּערפאָרמינג דאַטן אַפּעריישאַנז און לויפן קאָנטראָל.

די פֿילטרירונג כּללים און פּראָטאָקאָל-ספּעציפיש האַנדלערס זענען קאַמפּיילד אין ביטעקאָדע אין באַניצער פּלאַץ, נאָך וואָס דעם בייטעקאָד איז לאָודיד אין די קערן ניצן די נעטלינק צובינד און עקסאַקיוטאַד אין די קערן אין אַ ספּעציעל ווירטואַל מאַשין רעמאַניסאַנט פון BPF (Berkeley Packet Filters). דער צוגאַנג אַלאַוז איר צו באטייטיק רעדוצירן די גרייס פון די פֿילטרירונג קאָד פליסנדיק אויף די קערן מדרגה און מאַך אַלע די פאַנגקשאַנז פון פּאַרסינג כּללים און לאָגיק פֿאַר ארבעטן מיט פּראָטאָקאָלס אין באַניצער פּלאַץ.

הויפּט חידושים:

סופּפּאָרט פֿאַר די "*" מאַסקע עלעמענט איז צוגעגעבן צו שטעלן רשימות, וואָס איז טריגערד פֿאַר קיין פּאַקאַדזשאַז וואָס טאָן ניט פאַלן אונטער אנדערע עלעמענטן דיפיינד אין דעם גאַנג. טיש רענטגענ {מאַפּע בלאָקליסט {טיפּ יפּוו4_אַדדר: ווערדיקט פלאַגס מעהאַלעך עלעמענטן = {192.168.0.0/16: אָננעמען, 10.0.0.0/8: אָננעמען, *: פאַלן}} קייט י {טיפּ פילטער פאַרטשעפּען פּריראָוטינג בילכערקייַט 0; פּאָליטיק אָננעמען; ip saddr vmap @בלאָקליסט } }
עס איז מעגלעך צו דעפינירן וועריאַבאַלז פֿון די באַפֿעלן שורה ניצן די "--דעפינירן" אָפּציע. # קאַץ טעסט.נפט טיש נעטדעוו רענטגענ { קייט י {טיפּ פילטער קרוק ינגרעסס דעוויסעס = $ דעוו בילכערקייַט 0; פאליסי פאַלן; } } # nft — דעפינירן דעוו = "{ eth0, eth1 }" -f test.nft
אין מאַפּע רשימות, די נוצן פון קעסיידערדיק (סטייטפאַל) אויסדרוקן איז ערלויבט: טיש ינעט פילטער { מאַפּע פּאָרטמאַפּ {טיפּ inet_service: ווערדיקט טאָמבאַנק עלעמענטן = {22 טאָמבאַנק פּאַקיץ 0 ביטעס 0: שפּרינגען ssh_input, * טאָמבאַנק פּאַקיץ 0 ביטעס 0: קאַפּ }} קייט ssh_input {} קייט wan_input {tcp dport vmap @portmap} קייט פּריראָוטינג {טיפּ פילטער קרוק פּרעראָוטינג בילכערקייַט רוי; פּאָליטיק אָננעמען; iif vmap {"לאָ": שפּרינגען wan_input}}}
צוגעלייגט "רשימה כוקס" באַפֿעל צו ווייַזן אַ רשימה פון האַנדלערס פֿאַר אַ געגעבן פּאַקאַט משפּחה: # nft רשימה כוקס יפּ מיטל eth0 משפּחה יפּ {האָקן ינגרעסס {+0000000010 קייט נעטדעוו קסי [נפ_טאַבלעס] +0000000300 קייט ינעט מוו [נפ_טאַבלעס] } {-0000000100/0000000300 טשאַין IP [NF_TIBALS] +0000000225 קייט ינעט MZ [nf_tables_IPV4_TONUX_IPV0000000000_TONUX_IPV0000000225_TONUX_IPOTING {+4 0000000225 סעלינוקס_יפּ V4_Postroute}}}
ריי בלאַקס לאָזן דזשהאַש, סימהאַש און נומגען אויסדרוקן צו זיין קאַמביינד צו פאַרשפּרייטן פּאַקיץ צו קיוז אין באַניצער פּלאַץ. … ריי צו סימהאַש מאָד 65536 … ריי פלאַגס בייפּאַס צו נומגען ינק מאָד 65536 … ריי צו דזשהאַש אָיף . מעטאַ מאַרק מאָד 32 "ריי" קענען אויך זיין קאַמביינד מיט מאַפּע רשימות צו סעלעקטירן אַ ריי אין באַניצער פּלאַץ באזירט אויף אַרביטראַריש שליסלען. ... ריי פלאַגס בייפּאַס צו די נאָמען מאַפּע {"eth0": 0, "ppp0": 2, "eth1": 2}
עס איז מעגלעך צו יקספּאַנד וועריאַבאַלז וואָס אַרייַננעמען אַ סכום רשימה אין עטלעכע מאַפּס. דעפינירן ינטערפייסיז = {עטה0, עטה1} טיש יפּ רענטגענ {קייט י {טיפּ פילטער קרוק אַרייַנשרייַב בילכערקייַט 0; פּאָליטיק אָננעמען; iifname vmap {לאָ: אָננעמען, $ ינטערפייסיז: פאַלן}}} # nft -f x.nft # nft רשימה כּללים סעט טיש יפּ רענטגענ { קייט י {טיפּ פילטער קרוק אַרייַנשרייַב בילכערקייַט 0; פּאָליטיק אָננעמען; iifname vmap {"לאָ": אָננעמען, "עטה0": קאַפּ, "עטה1": קאַפּ}}}
קאַמביינינג וומאַפּס (ווערדיקט מאַפּע) מיט ינטערוואַלז איז ערלויבט: # nft add rule xy tcp dport . ip saddr vmap {1025-65535. 192.168.10.2: אָננעמען }
סימפּליפיעד סינטאַקס פֿאַר NAT מאַפּינגז. דערלויבט צו ספּעציפיצירן אַדרעס ריינדזשאַז: ... snat to ip saddr map { 10.141.11.4 : 192.168.2.2-192.168.2.4 } אָדער יקספּליסאַט יפּ ווענדט און פּאָרץ: ... דנאַט צו יפּ סאַדר מאַפּע {10.141.11.4: 192.168.2.3. . 80 } אָדער קאַמבאַניישאַנז פון IP ריינדזשאַז און פּאָרץ: ... dnat to ip saddr . tcp dport מאַפּע {192.168.1.2. 80: 10.141.10.2-10.141.10.5. 8888-8999 }

מקור: opennet.ru

נפטאַבלעס פּאַקאַט פילטער 1.0.0 מעלדונג

לייגן אַ באַמערקונג באָטל מאַכן ענטפער