nftables हा एक प्रकल्प आहे जो लिनक्सवर पॅकेट फिल्टरिंग आणि पॅकेट वर्गीकरण प्रदान करतो
nftables 1.0.7 पॅकेट फिल्टरचे प्रकाशन प्रकाशित झाले आहे, जे काही सुधारणा, सुधारणा तसेच काही नवीन वैशिष्ट्यांसह येते.
nftables बद्दल अपरिचित असलेल्यांसाठी, तुम्हाला हे माहित असले पाहिजे IPv4 साठी पॅकेट फिल्टरिंग इंटरफेस एकत्र करते, IPv6, ARP, आणि नेटवर्क ब्रिजिंग (iptables, ip6table, arptables आणि ebtables पुनर्स्थित करण्याच्या हेतूने). त्याच वेळी, libnftnl 1.2.3 सहचर लायब्ररी सोडण्यात आली, जे nf_tables उपप्रणालीसह इंटरफेस करण्यासाठी निम्न-स्तरीय API पुरवते.
Nftables संकुल वापरकर्त्याच्या जागेत कार्य करणारे पॅकेट फिल्टर घटक समाविष्ट करतात, कर्नल स्तरावर असताना, nf_tables उपप्रणाली आवृत्ती 3.13 पासून Linux कर्नलचा एक भाग पुरवतो.
केवळ कोर पातळीवर एक सामान्य इंटरफेस प्रदान करतो जो प्रोटोकॉलपेक्षा स्वतंत्र असतो विशिष्ट आणि प्रदान करते मूलभूत कार्ये पॅकेटमधून डेटा काढण्यासाठी, डेटा ऑपरेशन्स आणि प्रवाह नियंत्रित करण्यासाठी.
अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना थेट फिल्टरिंग नियम आणि प्रोटोकॉल-विशिष्ट ड्रायव्हर्स ते युजर स्पेसच्या बाईकोडमध्ये कंपाईल केले जातात, ज्यानंतर हे बायकोड नेटलिंक इंटरफेसचा वापर करून कर्नलमध्ये लोड केले जाते आणि बीपीएफ (बर्कले पॅकेट फिल्टर्स) सारख्या खास आभासी मशीनमध्ये कर्नलमध्ये चालवले जाते.
नफ्टेबलची मुख्य नवीन वैशिष्ट्ये 1.0.7
nftables 1.0.7 वरून आलेल्या या नवीन आवृत्तीमध्ये, साठी लिनक्स 6.2+ कर्नल सिस्टम, जोडले vxlan, geneve, gre आणि gretap प्रोटोकॉल जुळण्यासाठी समर्थन, जे एन्कॅप्स्युलेटेड पॅकेटमध्ये हेडर तपासण्यासाठी सोप्या अभिव्यक्तींना अनुमती देते.
उदाहरणार्थ, नेस्टेड VxLAN पॅकेटच्या शीर्षलेखातील IP पत्ता तपासण्यासाठी, तुम्ही आता नियम वापरू शकता (प्रथम VxLAN शीर्षलेख अनकॅप्स्युलेट करा आणि फिल्टरला vxlan0 इंटरफेसमध्ये बांधून ठेवा):
याशिवाय, असेही अधोरेखित केले आहेआणि अवशेषांच्या स्वयंचलित विलीनीकरणासाठी समर्थन लागू केले कॉन्फिगरेशन सूचीमधून आयटम आंशिक काढून टाकल्यानंतर, विद्यमान श्रेणीतून आयटम किंवा श्रेणीचा काही भाग काढून टाकण्याची परवानगी देते (पूर्वी, श्रेणी केवळ संपूर्णपणे काढली जाऊ शकत होती).
उदाहरणार्थ, 25-24 आणि 30-40, 50, 24-26 आणि 30-40 श्रेणी असलेल्या सूचीमधून आयटम 50 काढून टाकल्यानंतर सूचीमध्ये राहील. कार्य करण्यासाठी स्वयंचलित विलीनीकरणासाठी आवश्यक निराकरणे 5.10+ स्थिर कर्नल शाखांच्या पॅच प्रकाशनांमध्ये प्रदान केली जातील.
त्यातही भर पडली असेही नमूद केले आहे "अंतिम" अभिव्यक्तीसाठी समर्थन, que नियम किंवा कॉन्फिगरेशन सूचीचा घटक शेवटच्या वेळी वापरला होता हे शोधण्याची परवानगी देते. हे वैशिष्ट्य Linux कर्नल 5.14 पासून समर्थित आहे.
दुसरीकडे, हे देखील ठळक केले आहे नवीन "destroy" कमांड जोडली आहे ऑब्जेक्ट्स बिनशर्त काढून टाकण्यासाठी (रिमूव्ह कमांडच्या विपरीत, गहाळ ऑब्जेक्ट काढण्याचा प्रयत्न करताना ते ENOENT वाढवत नाही). काम करण्यासाठी किमान Linux 6.3-rc कर्नल आवश्यक आहे.
- सेट-याद्यांमध्ये स्थिरांक वापरण्याची परवानगी आहे. उदाहरणार्थ, गंतव्य पत्त्याची सूची आणि VLAN ID चा वापर करून, तुम्ही थेट VLAN क्रमांक निर्दिष्ट करू शकता (daddr. 123):
- कॉन्फिगरेशन सूचीवर कोटा परिभाषित करण्याची क्षमता जोडली. उदाहरणार्थ, प्रत्येक गंतव्य IP पत्त्यासाठी रहदारी कोटा परिभाषित करण्यासाठी, आपण निर्दिष्ट करू शकता.
- अॅड्रेस ट्रान्सलेशन (NAT) मॅपिंगमध्ये संपर्क आणि रेंज वापरण्याची परवानगी द्या.
शेवटी याबद्दल अधिक जाणून घेण्यास इच्छुक असलेल्यांसाठी या नवीन आवृत्तीबद्दल, आपण तपशील तपासू शकता पुढील लिंकवर
नफ्टेबल 1.0.7 ची नवीन आवृत्ती कशी स्थापित करावी?
ज्यांना nftables 1.0.7 ची नवीन आवृत्ती मिळण्यास इच्छुक आहे त्यांच्यासाठी याक्षणी केवळ स्त्रोत कोड संकलित केला जाऊ शकतो तुमच्या सिस्टमवर. काही दिवसांत आधीच संकलित बायनरी पॅकेजेस विविध लिनक्स वितरणात उपलब्ध असतील.
संकलित करण्यासाठी, आपल्याकडे खालील अवलंबन स्थापित केलेली असणे आवश्यक आहे:
याची संकलित केली जाऊ शकतेः
./autogen.sh ./configure make make install
आणि नफ्टेबल 1.0.5 साठी आम्ही ते डाउनलोड करतो खालील दुवा. आणि संकलन खालील आदेशांसह केले जाते:
cd nftables ./autogen.sh ./configure make make install