ProHoster > Блог > ayelujara iroyin > nftables soso àlẹmọ 0.9.2 Tu

nftables soso àlẹmọ 0.9.2 Tu

waye soso àlẹmọ Tu nftables 0.9.2, èyí tí a ń ṣe àgbékalẹ̀ rẹ̀ gẹ́gẹ́ bí àyípadà fún iptables, ip6table, arptables, àti ebtables nípa sísopọ̀ àwọn ìsopọ̀ ìṣàlẹ̀ packet fún IPv4, IPv6, ARP, àti àwọn afárá nẹ́tíwọ́ọ̀kì. Àpò nftables náà ní àwọn èròjà àlẹ̀mọ́ packet tí ó ń ṣiṣẹ́ ní ààyè olùlò, nígbàtí ètò nf_tables, tí ó jẹ́ ara kernel, ń pèsè iṣẹ́ ìpele kernel. Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.2 изменения включения в состав ядра Linux 5.3.

Ipele ekuro n pese nikan ni wiwo olominira ilana ilana jeneriki ti o pese awọn iṣẹ ipilẹ fun yiyo data lati awọn apo-iwe, ṣiṣe awọn iṣẹ data, ati iṣakoso sisan. Imọye sisẹ funrararẹ ati awọn olutọju-ila-ilana ni a ṣe akojọpọ sinu bytecode ni aaye olumulo, lẹhin eyi ti kojọpọ baiti yii sinu ekuro nipa lilo wiwo Netlink ati ṣiṣe ni ẹrọ foju foju pataki kan ti o ṣe iranti ti BPF (Awọn Ajọ Packet Berkeley). Ọna yii ngbanilaaye lati dinku iwọn iwọn koodu sisẹ ti n ṣiṣẹ ni ipele ekuro ati gbe gbogbo awọn iṣẹ ti awọn ofin itọka ati ọgbọn fun ṣiṣẹ pẹlu awọn ilana sinu aaye olumulo.

Awọn imotuntun akọkọ:

  • Agbara lati ṣayẹwo nọmba ibudo lati akọsori soso Layer gbigbe, laibikita iru ilana ilana Layer 4:

    ṣafikun ilana ilana xy ip {tcp, udp} th dport 53

  • Atilẹyin fun eroja ṣeto imularada igbesi aye:

    fi eroja ip xy kun {1.1.1.1 akoko ipari 30s pari 15s}

  • Agbara lati ṣayẹwo awọn aṣayan kọọkan (lsrr, rr, ssrr ati ra) lati awọn apo-iwe IPv4:

    fi ofin xy ip aṣayan rr wa silẹ

    Fun awọn aṣayan ipa-ọna, o ṣee ṣe lati ṣayẹwo iru, ptr, ipari ati awọn aaye addr:

    fi ofin xy ip aṣayan rr iru 1 silẹ

  • O ṣee ṣe ni bayi lati pato awọn asọtẹlẹ nẹtiwọki ati awọn sakani adirẹsi ni awọn ikosile:

    iifname ens3 snat to 10.0.0.0/28
    iifname ens3 snat to 10.0.0.1-10.0.0.15

  • Atilẹyin fun lilo awọn oniyipada ni awọn asọye pq:

    setumo default_policy = gba
    fi pq ip foo bar {iru àlẹmọ kio input ayo àlẹmọ; eto imulo $default_policy }

  • Pataki pq le ti wa ni pato ni nọmba ati aami:

    setumo prio = àlẹmọ
    setumo pionum = 10
    setumo prioffset = "àlẹmọ - 150"

    fi tabili ip foo
    fi pq ip foo bar {iru àlẹmọ kio input ayo $prio; }
    fi pq ip foo ber {Iru àlẹmọ kio input ayo $prionum; }
    fi pq ip foo bor {iru àlẹmọ kio input ayo $prioffset; }

  • Atilẹyin fun module synproxy ti ni imuse. Fun apẹẹrẹ, lati gbe ibudo TCP 8888 labẹ aabo imuṣiṣẹpọ, o le lo eto awọn ofin wọnyi:

    tabili ip x {
    ẹwọn y {
    iru àlẹmọ kio prerouting ayo aise; imulo gba;
    tcp dport 8888 tcp awọn asia syn notrack
    }

    ẹwọn z {
    iru àlẹmọ kio siwaju ayo àlẹmọ; imulo gba;
    tcp dport 8888 ct ipinle ko wulo, synproxy ti ko tọpa mss 1460 \\
    wscale 7 timestamp sack-perm ct ipinle invalid ju
    }
    }

  • Lati ṣalaye awọn asopọ afikun ti a nireti ti o ni nkan ṣe pẹlu asopọ lọwọlọwọ ni tabili conntrack, eyiti o lo ninu awọn ilana ati awọn oju iṣẹlẹ ti o nilo awọn asopọ pupọ, o le ṣe asọye awọn eto imulo bayi nipasẹ awọn ipilẹ ofin boṣewa. Fun apẹẹrẹ, lati pinnu iru awọn asopọ atẹle si ibudo 8888 ni a nireti lẹhin awọn asopọ si ibudo TCP 5432, o le pato awọn ofin wọnyi:

    tabili x {
    ct ireti mi {
    Ilana tcp
    ibudo 5432
    aago 1h
    iwọn 12
    l3proto ip
    }

    igbewọle ẹwọn {
    iru àlẹmọ kio input ayo 0;
    ct ipinle titun tcp dport 8888 ct ireti ṣeto myexpect
    ct ipinle mulẹ, ti o ni ibatan counter gba
    }
    }

orisun: opennet.ru

Ra alejo gbigba igbẹkẹle fun awọn aaye pẹlu aabo DDoS, awọn olupin VPS VDS 🔥 Ra gbigbalejo oju opo wẹẹbu ti o gbẹkẹle pẹlu aabo DDoS, awọn olupin VPS VDS | ProHoster