nftables 1.0.1 版本已發布,它是一個統一了 IPv4、IPv6、ARP 和網路橋接封包過濾介面的封包過濾框架(旨在替代 iptables、ip6table、arptables 和 ebtables)。 nftables 1.0.1 所需的變更已合併至核心。 Linux 5.16-rc1。
nftables 軟體包包含在用戶空間運行的資料包過濾元件,而核心級工作由核心的一部分 nf_tables 子系統提供。 Linux 自 3.13 版本以來,核心層級僅提供了一個通用的、與協定無關的接口,提供從資料包中提取資料、執行資料操作和流量控制的基本功能。
過濾規則本身和協定特定的處理程序在使用者空間被編譯成字節碼,之後該字節碼透過 Netlink 介面載入到核心中,並在核心中以特殊方式執行。 虛擬機這與伯克利數據包過濾器(BPF)類似。這種方法可以顯著減少核心級過濾程式碼的大小,並將所有規則解析和協定邏輯移至使用者空間。
主要創新:
- 載入大型集合和地圖列表時減少記憶體消耗。
- 加快了設定和地圖列表的重新載入。
- 大型規則集中選定表和鏈的輸出速度已加快。例如,「nft list ruleset」指令輸出包含 100 萬行的規則集的執行時間為 3.049 秒,而僅輸出 nat 和 filter 表(「nft list table nat」、「nft list table filter」)的執行時間分別縮短至 1.969 和 0.697 秒。
- 在處理具有大型集合和映射清單的規則時,使用「--terse」選項可以加快查詢的執行速度。
- 提供了從「egress」鏈過濾流量的能力,在與 netdev 鏈(hook egress)中的 egress 處理程序相同的層級進行處理,即在驅動程式從核心網路堆疊接收封包的階段。 table netdev filter { chain egress { type filter hook egress devices = { eth0, eth1 } prioritity 0; meta priority set ip saddr map { 192.168.10.2 : abcd:2, 192.168.10.3.
- 允許匹配和修改封包頭和內容中給定偏移量的位元組。 # nft add rule xy @ih,32,32 0x14000000 counter# nft add rule xy @ih,32,32 set 0x14000000 counter
來源: opennet.ru
