कुछ दिनों पहले पैकेट फ़िल्टर "nftables 0.9.4" के नए संस्करण के लॉन्च की घोषणा की गई थीकि इसे iptables, ip6table, arptables और ebtables के प्रतिस्थापन के रूप में विकसित किया गया है IPv4, IPv6, ARP और नेटवर्क पुलों के लिए पैकेट फ़िल्टरिंग इंटरफेस के एकीकरण के कारण।
नेफ्टैबल्स पैकेज पैकेट फ़िल्टर घटक शामिल हैं जो उपयोगकर्ता अंतरिक्ष में काम करते हैं, कर्नेल स्तर पर, nf_tables सबसिस्टम संस्करण 3.13 से लिनक्स कर्नेल का एक हिस्सा प्रदान करता है।
मूल स्तर पर, केवल एक सामान्य इंटरफ़ेस प्रदान करता है जो एक प्रोटोकॉल से स्वतंत्र है विशिष्ट और प्रदान करता है बुनियादी कार्यों पैकेट से डेटा निकालने, डेटा ऑपरेशन करने और प्रवाह को नियंत्रित करने के लिए।
लास प्रत्यक्ष फ़िल्टरिंग नियम और प्रोटोकॉल-विशिष्ट ड्राइवर वे उपयोगकर्ता स्थान में एक बायोटेक में संकलित किए जाते हैं, जिसके बाद इस बायटेकोड को नेटलिंक इंटरफ़ेस का उपयोग करके कर्नेल में लोड किया जाता है और बीपीएफ (बर्कले पैकेट फिल्टर) से मिलता जुलता एक विशेष वर्चुअल मशीन में कर्नेल में निष्पादित किया जाता है।
इस तरह के दृष्टिकोण से फ़िल्टरिंग कोड का आकार काफी कम हो सकता है जो कर्नेल स्तर पर काम करता है और उपयोगकर्ता अंतरिक्ष में प्रोटोकॉल के साथ काम करने के नियमों और तर्क को पार्स करने के सभी कार्यों को समाप्त करता है।
Nftables की मुख्य नई विशेषताएं 0.9.4
सभी आवश्यक परिवर्तन Nftables 0.9.4 संस्करण के लिए काम करने के लिए की शाखा में शामिल हैं लिनक्स कर्नेल 5.6 और इसमें संयोजनों में श्रेणियों के लिए समर्थन "सामंजस्य, विशिष्ट पते और पोर्ट पैकेट जो असाइनमेंट को सरल बनाते हैं।"
उदाहरण के लिए, "श्वेतसूची" के एक सेट के लिए, जिनके तत्व संयोजन हैं, "रेंज" संकेतक के विनिर्देश से संकेत मिलेगा कि सेट में यूनियन में रेंज शामिल हो सकते हैं।
NAT लिंक पर जुड़ने का उपयोग करने की क्षमता जोड़ा गयाजब आप NAT को मैप सूचियों या नामित सेटों के आधार पर परिभाषित करते हैं, तो आपको पता और पोर्ट निर्दिष्ट करने की अनुमति देता है।
इसके साथ में कुछ फ़िल्टरिंग संचालन को हटाने के साथ हार्डवेयर त्वरण के लिए समर्थन। त्वरण यह एथलेटिक उपयोगिता के माध्यम से सक्षम है ("ethtool -K eth0 hw-tc-ऑफलोड चालू"), जिसके बाद यह" ऑफलोड "ध्वज का उपयोग करते हुए मुख्य श्रृंखला के लिए नेफ्टेबल्स में आग लगाता है।
लिनक्स कर्नेल 5.6 का उपयोग करते समय, हार्डवेयर त्वरण का समर्थन किया जाता हैई हेडर फ़ील्ड से मेल खाने और प्राप्त, ड्रॉप, डुप्लिकेट (डुबकी) और फॉरवर्ड पैकेट (fwd) के साथ संयोजन में आने वाले इंटरफ़ेस को सत्यापित करने के लिए।
मानचित्रों के सेट और सूचियों में, "टाइपोफ़" निर्देश का उपयोग करना संभव है, जो मिलान करते समय तत्व के प्रारूप को निर्धारित करता है।
अन्य परिवर्तनों की इस संस्करण से बाहर खड़े हो जाओ:
- नियमों में बग स्थान की बेहतर रिपोर्टिंग।
- निर्दिष्ट करके दास इंटरफ़ेस को सत्यापित करने के लिए समर्थन जोड़ा गया "मेटा एसडीआईएफ" या «मेटा sdifname«
- दाईं या बाईं ओर स्क्रॉल करने के लिए जोड़ा गया समर्थन। उदाहरण के लिए, मौजूदा पैकेट के लेबल को बाईं ओर 1 बिट में बदलने के लिए और सबसे छोटे बिट को 1 पर सेट करें।
- सूचना प्रदर्शित करने के लिए लागू विकल्प "-V"। कमांड लाइन विकल्प अब कमांड से पहले निर्दिष्ट किया जाना चाहिए। उदाहरण के लिए, आपको निर्दिष्ट करना होगा «एनएफटी-ए सूची नियम»और निष्पादित करें«एनएफटी सूची नियम-ए»कोई त्रुटि उत्पन्न करेगा।
Nftables का नया संस्करण कैसे स्थापित करें 0.9.4?
उन लोगों के लिए जो 0.9.4 के नए संस्करण को प्राप्त करने में सक्षम हैं फिलहाल केवल सोर्स कोड ही संकलित किया जा सकता है आपके सिस्टम पर। यद्यपि कुछ ही दिनों में पहले से संकलित बाइनरी पैकेज विभिन्न लिनक्स वितरणों के भीतर उपलब्ध होंगे।
संकलित करने के लिए, आपके पास निम्नलिखित निर्भरताएँ स्थापित होनी चाहिए:
इनसे संकलित किया जा सकता है:
./autogen.sh
./configure
make
make install
और nftables 0.9.4 के लिए हम इसे से डाउनलोड करते हैं निम्नलिखित लिंक। और संकलन निम्नलिखित आदेशों के साथ किया जाता है:
cd nftables
./autogen.sh
./configure
make
make install