Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Новости и флейм из мира *nix » В Linux 3.13 появится пакетный фильтр Nftables

Ответить
Настройки темы
В Linux 3.13 появится пакетный фильтр Nftables
exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442


Конфигурация

Профиль | Отправить PM | Цитировать

Код Nftables является новой реализацией пакетного фильтра вместо iptables, ip6table, arptables и ebtables.
Создатели ядра Linux внесли изменение в ветку linux-next, которая станет основой для Linux 3.13. Так, в ветку был внедрен код Nftables, который является новой реализацией пакетного фильтра вместо iptables, ip6table, arptables и ebtables.
Отличием нововведения является пересмотр процесса обработки правил фильтрации пакетов. Кроме того, в ветке изменен синтаксис правил, сокращен код, выполняемый на уровне ядра, а также унифицированы интерфейсы для IPv4, IPv6, ARP и сетевых мостов.
Главной особенностью Nftables стало то, что правила фильтрации компилируются в пространстве пользователя в байткод и передаются в ядро через API Netlink. Затем для принятия решения по дальнейшим действиям правила выполняются с использованием конечного автомата pseudo-state machine.
Это позволяет сократить размер кода фильтрации, который работает на уровне ядра, а также вынести функции разбора правил и логики работы с протоколами в пространство пользователя. Новинка также обеспечивает возможность объединить работу с различными видами протоколов. При этом без поддержания отдельных расширений фильтрации для IPv4, IPv6, ARP и сетевых мостов. Теперь также можно использовать специальную связующую интерфейсную библиотеку libnl.
Пример правил:

Цитата:
table filter {
chain input {
table filter hook input priority 0;
ct state established accept
ct state related accept
meta iif lo accept
tcp dport ssh counter packets 0 bytes 0 accept
counter packets 5 bytes 5 log drop
}
chain output {
table filter hook output priority 0;
ct state established accept
ct state related accept
meta oif lo accept
ct state new counter packets 0 bytes 0 accept
}
}

-------
Вежливый клиент всегда прав!

Это сообщение посчитали полезным следующие участники:

Отправлено: 12:07, 22-10-2013

 

Ветеран


Сообщения: 2029
Благодарности: 704

Профиль | Отправить PM | Цитировать

Действительно появился в rc1.

-------
Господа! Убедительная просьба не обращаться за консультациями в ЛС. Поверьте, создать ветку в соответствующем разделе форума гораздо эффективнее.

Отправлено: 13:54, 24-11-2013 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.



Компьютерный форум OSzone.net » Linux и FreeBSD » Новости и флейм из мира *nix » В Linux 3.13 появится пакетный фильтр Nftables

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Linux Fedora 13 (2 монитора и xorg.conf) AnaStas Железо в Linux 3 06-12-2010 17:17
Прочее - Проблема с Sendmail 8.13.1 в ASP Linux podlom Общий по Linux 4 08-03-2008 03:00
Пакетный фильтр pf.conf и его тонкая настройка kaEwituS Общий по FreeBSD 4 19-08-2007 01:08


« Предыдущая тема | Следующая тема »


 
Переход