ProHoster > Блог > ayelujara iroyin > nftables soso àlẹmọ 1.1.6 Tu

nftables soso àlẹmọ 1.1.6 Tu

Itusilẹ ti àlẹmọ apo-iwe nftables 1.1.6 ti ṣe atẹjade, awọn atọkun sisẹ apo-iṣọkan fun IPv4, IPv6, ARP ati awọn afara nẹtiwọọki (ti a pinnu lati rọpo iptables, ip6table, arptables ati awọn ebtables). Ni akoko kanna, itusilẹ ti ile-ikawe ẹlẹgbẹ libnftnl 1.3.1 ni a tẹjade, ti n pese API ipele-kekere kan fun ibaraenisepo pẹlu eto inu nf_tables.

Àpò nftables ní àwọn èròjà àlẹ̀mọ́ packet tí ó ń ṣiṣẹ́ ní ààyè olùlò, nígbàtí iṣẹ́ ìpele kernel ni a ń pèsè láti ọwọ́ nf_tables subsystem, èyí tí ó jẹ́ ara kernel. Linux Láti ìgbà tí a ti tú 3.13 jáde, ìfọwọ́sowọ́pọ̀ gbogbogbòò tí kò ní ìlànà nìkan ni a pèsè ní ìpele kernel, èyí tí ó ń pèsè iṣẹ́ ìpìlẹ̀ fún yíyọ dátà kúrò nínú àwọn packets, ṣíṣe àwọn iṣẹ́ dátà, àti ìṣàkóso ìṣàn.

Àwọn àlẹ̀mọ́ náà ń darí ara wọn, àwọn olùdarí ìlànà náà sì ni a ń kó jọ sínú bytecode nínú ààyè olùlò, lẹ́yìn èyí ni a ó fi bytecode yìí sínú kernel nípa lílo Netlink interface tí a ó sì ṣe é nínú kernel ní pàtàkì kan. foju ẹrọ, tí ó jọ BPF (Berkeley Packet Filters). Ọ̀nà yìí gba ààyè fún ìdínkù pàtàkì nínú ìwọ̀n kódì ìfọ́mọ́lẹ̀ tí ó ń ṣiṣẹ́ ní ìpele kernel, ó sì ń gbé gbogbo ìtúpalẹ̀ òfin àti ìlànà ìlànà sínú ààyè olùlò.

Awọn iyipada akọkọ:

  • Atilẹyin ni kikun fun awọn awoṣe oju eefin iwuwo fẹẹrẹ bii vxlan, geneve, ati erspan: tabili netdev agbaye { eefin t1 {id 10 ip saddr 192.168.2.10 ip daddr 192.168.2.11 ere idaraya 1025 dport 20020 idpan 1} 10 ip saddr 192.168.3.10 ip daddr 192.168.3.11 idaraya 1025 dport 21021 ttl 1 erspan { version 1 index 2}} pq ni { Iru àlẹmọ kio ingress ẹrọ veth0 ayo 0; orukọ oju eefin ip saddr map {10.141.10.12: "t1", 10.141.10.13 : "t2"} fwd to erspan1} } Ṣaaju ki o to kojọpọ awọn ofin, o yẹ ki o ṣẹda wiwo nẹtiwọki erspan1: ip link add dev erspan1 type erspan
  • Atilẹyin ti a ṣafikun fun awọn iboju iparada ni awọn orukọ wiwo nẹtiwọọki ni awọn olutọju netdev. Fun apẹẹrẹ, lati ṣafikun pq ipilẹ kan si àlẹmọ ijabọ ti nwọle fun gbogbo awọn ẹrọ vlan, o le pato: tabili netdev t {pq c {type filter hook ingress devices = {"vlan*", "veth0"} àlẹmọ ayo; imulo gba; }}
  • Lori awọn eto pẹlu ekuro Linux 6.18+ реализована поддержка передачи L2-кадров в интерфейс сетевых мостов для локальной обработки, например, для направления в IP-стек всех Ethernet-кадров для MAC-адреса de:ad:00:00:be:ef можно указать: table bridge global { chain pre { type filter hook prerouting priority 0; policy accept; ether daddr de:ad:00:00:be:ef meta pkttype set host ether daddr set meta ibrhwaddr accept } }
  • Ṣafikun awọn amayederun tuntun fun idanwo iruju ni lilo afl ++ (fuzzy lop ++ ara Amẹrika) ohun elo irinṣẹ, ṣiṣẹ ni akoko kikọ nipasẹ “./configure --with-fuzzer”.

orisun: opennet.ru

Ra alejo gbigba igbẹkẹle fun awọn aaye pẹlu aabo DDoS, awọn olupin VPS VDS 🔥 Ra gbigbalejo oju opo wẹẹbu ti o gbẹkẹle pẹlu aabo DDoS, awọn olupin VPS VDS | ProHoster