नेटफिल्टर: Difference between revisions

Netfilter
Stable release	Script error: The module returned a nil value. It is supposed to return an export table. / Script error: The module returned a nil value. It is supposed to return an export table.; Error: first parameter cannot be parsed as a date or time.
Written in	सी
Operating system	लिनक्स
Type	लिनक्स कर्नेल मापांक; वेष्टक निस्यंदन/सुरक्षा भित्ति;
License	जीएनयू जीपीएल
Website	नेटफिल्टर.ओआरजी

Latest revision as of 17:50, 26 May 2023

नेटफिल्टर लिनक्स कर्नेल द्वारा प्रदान किया गया एक प्राधार है जो विभिन्न जालक्रमण से संबंधित कार्यों को अनुकूलित प्रबंधकर्ता के रूप में कार्यान्वित करने की अनुमति प्रदान करता है। नेटफिल्टर वेष्टक निस्यंदन, जालक्रम पता अनुवाद और पत्तन अनुवाद के लिए विभिन्न कार्य और संचालन प्रदान करता है, जो जालक्रम के माध्यम से वेष्टकों को निर्देशित करने और वेष्टकों को जालक्रम के भीतर संवेदनशील स्थानों तक पहुँचने से रोकने के लिए आवश्यक कार्यक्षमता प्रदान करता है।

नेटफिल्टर लिनक्स कर्नेल के भीतर अंकुश के एक समूह का प्रतिनिधित्व करता है, विशिष्ट कर्नेल मापांक को कर्नेल के जालक्रम चित्ति के साथ पुनः साक्षात्कार कार्यों को पंजीकृत करने की अनुमति प्रदान करता है। उन कार्यों, जो सामान्यतः निस्यंदन और संशोधन नियमों के रूप में परियात पर अनुप्रयुक्त होते हैं, प्रत्येक वेष्टकों के लिए कहा जाता है जो जालक्रम चित्ति के भीतर संबंधित अंकुश को पार करता है।^[1]

इतिहास

(कुछ) विभिन्न नेटफिल्टर घटकों का संबंध।

रस्टी रसेल ने 1998 में, नेटफिल्टर/आईपीतालिका परियोजनाओं प्रारंभ को किया; उन्होंने परियोजना के पूर्ववर्ती, आईपी श्रृंखला को भी लिखा था। जैसे-जैसे परियोजना बढ़ी, उन्होंने 1999 में नेटफिल्टर कोर समूह (या केवल कोर समूह) की स्थापना की। उनके द्वारा उत्पादित सॉफ्टवेयर (इसके बाद नेटफिल्टर कहा जाता है) जीएनयू सामान्य जनता अनुज्ञापत्र (GPL) का उपयोग करता है और मार्च 2000 में इसे लिनक्स कर्नेल प्रमुख पंक्ति के संस्करण 2.4.x में मिला दिया गया।

अगस्त 2003 में हेरोल्ड वेल्टे कोर समूह के अध्यक्ष बने। अप्रैल 2004 में, जीपीएल के अनुपालन के बिना अनुर्मागक में अंतःस्थापित परियोजना के सॉफ़्टवेयर को वितरित करने वालों पर परियोजना द्वारा कड़ी कर्रवाई के पश्चात, एक जर्मन अदालत ने वेल्टे को साइटकॉम जर्मनी के विरुद्ध एक ऐतिहासिक निषेधाज्ञा दी, जिसने जीपीएल के नियमों का पालन करने से अस्वीकृत कर दिया (देखें जीपीएल- संबंधित विवाद)। सितंबर 2007 में पैट्रिक मैकहार्डी, जिन्होंने पिछले वर्षों में विकास का नेतृत्व किया, जिनको कोरसमूह के नए अध्यक्ष के रूप में चुना गया था।

आईपी तालिका से पूर्व, लिनक्स सुरक्षा भित्ति बनाने के लिए प्रमुख सॉफ़्टवेयर संवेष्टक लिनक्स कर्नेल 2.2.x में आईपी श्रृंखला और लिनक्स कर्नेल 2.0.x में आईपीएफडब्ल्यूएडीएम थे, जो बदले में बीएसडी के आईपीएफडब्ल्यू पर आधारित थे। दोनों आईपी श्रृंखला और आईपीएफडब्ल्यूएडीएम जालक्रम सांकेतिक अंक को परिवर्तित करते हैं ताकि वे वेष्टकों में प्रकलन कर सकें, क्योंकि लिनक्स कर्नेल में नेटफिल्टर के प्रारंभ तक एक सामान्य वेष्टक नियंत्रण प्राधार की कमी थी।

जबकि आईपी श्रृंखला और आईपीएफडब्ल्यूएडीएम वेष्टक निस्यंदन और एनएटी (विशेष रूप से तीन विशिष्ट प्रकार के एनएटी, जिसे स्वांग, पत्तन अग्रेषण और अनुप्रेषण कहा जाता है) को जोड़ती है, नेटफ़िल्टर नीचे वर्णित कई भागों में वेष्टक संचालन को अलग करता है। प्रत्येक वेष्टक तक पहुँचने के लिए अलग-अलग बिंदुओं पर नेटफिल्टर अंकुश से जुड़ता है। संयोजन अनुसरण और एनएटी उप-प्रणाली आईपी श्रृंखला और आईपीएफडब्ल्यूएडीएम के भीतर अल्पविकसित संस्करणों की तुलना में अधिक सामान्य और अधिक शक्तिशाली हैं।

2017 में आइपीवी4 और आइपीवी6 प्रवाह ऑफलोड आधारभूत संरचना को जोड़ा गया, जिससे सॉफ्टवेयर प्रवाह तालिका अग्रेषण और हार्डवेयर ऑफलोड समर्थन में तीव्रता आई।^[2]^[3]

उपयोक्‍ता समष्टि उपयोगिता क्रमादेश

धरोहर आईपी तालिका वेष्टक निस्यंदन के साथ नेटफिल्टर के माध्यम से जालक्रम वेष्टक का प्रवाह।

आईपीतालिका(8)

आईपी तालिका

आईपी तालिका, आईपी6_तालिका, एआरपी_तालिका (अधोरेखांकन नाम का भाग है) और ईबीतालिका नाम के कर्नेल मापांक में नेटफिल्टर अंकुश प्रणाली के धरोहर वेष्टक निस्यंदन भाग सम्मिलित हैं। वे सुरक्षा भित्ति नियमों को परिभाषित करने के लिए एक तालिका-आधारित प्रणाली प्रदान करते हैं जो वेष्टकों को निस्यंदन या रूपांतरित कर सकते हैं। तालिकाओं को उपयोगकर्ता-समष्टि उपकरण आईपी तालिका, आईपी6तालिका, एआरपीतालिका और ईबीतालिका के माध्यम से प्रशासित किया जा सकता है। ध्यान दें कि हालांकि दोनों कर्नेल मापांक और उपयोक्‍ता समष्टि उपयोगिता के नाम समान हैं, उनमें से प्रत्येक भिन्न कार्यक्षमता के साथ एक भिन्न इकाई है।

प्रत्येक तालिका वास्तव में अपना स्वयं का अंकुश है और प्रत्येक तालिका को एक विशिष्ट उद्देश्य की पूर्ति के लिए प्रस्तुत किया गया था। जहाँ तक नेटफिल्टर का संबंध है, यह अन्य तालिकाओं के संबंध में एक विशेष तालिका को एक विशिष्ट क्रम में चलाता है। कोई भी तालिका स्वयं को स्थगित कर सकती है और यह अपने नियमों को भी निष्पादित कर सकती है, जो अतिरिक्त प्रसंस्करण और पुनरावृत्ति की संभावनाओं को सक्षम करती है।

नियमों को श्रृंखलाओं में, या दूसरे शब्दों में, नियमों की श्रृंखलाओं में व्यवस्थित किया जाता है। इन श्रृंखलाओं को पूर्वनिर्धारित शीर्षकों के साथ नामित किया गया है, जिनमें इनपुट, आउटपुट और अग्रिम सम्मिलित हैं। ये श्रृंखला शीर्षक नेटफिल्टर चित्ति में उत्पत्ति का वर्णन करने में सहायता करते हैं। वेष्टक अभिग्रहण, उदाहरण के लिए, पूर्वनिर्धारण में आता है, जब इनपुट स्थानीय रूप से वितरित डेटा का प्रतिनिधित्व करता है और अग्रेषित परियात अग्रिम श्रृंखला के अंतर्गत आता है। स्थानीय रूप से उत्पन्न आउटपुट, आउटपुट श्रृंखला से होकर गुजरता है और भेजे जाने वाले वेष्टक केन्द्रनिर्धारण श्रृंखला में होते हैं।

नेटफिल्टर मापांक तालिका में व्यवस्थित नहीं हैं (नीचे देखें) अपने संचालन के तरीके का चयन करने के लिए मूल की जांच करने में सक्षम हैं।

आईपी तालिका_रॉ मापांक: भारित होने पर, एक अंकुश पंजीकृत करता है जिसे किसी अन्य नेटफिल्टर अंकुश से पहले स्थगित किया जाएगा। यह रॉ नामक एक तालिका प्रदान करता है जिसका उपयोग वेष्टक को निस्यंदन करने के लिए किया जा सकता है, इससे पहले कि वे अधिक मेमोरी-मांग संचालन जैसे संयोजन अनुसरण तक पहुँचें।
आईपी तालिका_मैंगल मापांक: संयोजन अनुसरण (नीचे देखें) के बाद चलाने के लिए एक अंकुश और मैंगल तालिका पंजीकृत करता है (परन्तु फिर भी किसी अन्य तालिका से पहले), ताकि वेष्टक में संशोधन किया जा सके। यह पालन करने वाले नियमों द्वारा अतिरिक्त संशोधनों को सक्षम करता है, जैसे एनएटी या अग्रिम निस्यंदन है।
आईपी तालिका_नेट मापांक: दो अंकुश पंजीकृत करता है: गंतव्य जालक्रम पता अनुवाद-आधारित परिवर्तन (DNAT) निस्यंदन अंकुश से पूर्व अनुप्रयुक्त होते हैं, स्त्रोत जालक्रम पता अनुवाद-आधारित परिवर्तन (SNAT) बाद में अनुप्रयुक्त होते हैं। जालक्रम पता अनुवाद तालिका (या नेट) जो आईपी तालिका को उपलब्ध कराया जाता है, केवल जालक्रम पता अनुवाद प्रतिचित्रिण के लिए एक संरूपण आंकड़ाकोष है और किसी भी प्रकार के निस्यंदन के लिए अभिप्रेत नहीं है।
आईपी तालिका_निस्यंदन मापांक: निस्यंदन तालिका को पंजीकृत करता है, जिसका उपयोग सामान्य-उद्देश्य निस्यंदन (सुरक्षा भित्ति) के लिए किया जाता है।
सुरक्षा_निस्यंदन मापांक: अनिवार्य अभिगम नियंत्रण (MAC) जालक्रम नियमों के लिए उपयोग किया जाता है, जैसे कि सेकमार्क और कॉनसेकमार्क लक्ष्य द्वारा सक्षम है। (ये तथाकथित लक्ष्य सुरक्षा-संवर्धित लिनक्स चिह्नकों को संदर्भित करते हैं)। अनिवार्य अभिगम नियंत्रण लिनक्स सुरक्षा मापांक जैसे एसईलिनक्स द्वारा कार्यान्वित किया जाता है। निस्यंदन तालिका के निर्देश के पश्चात सुरक्षा तालिका को स्थगित किया जाता है, निस्यंदन तालिका में किसी भी विवेकाधीन अभिगम नियंत्रण (DAC) नियमों को किसी भी एमएसी नियमों से पहले प्रभावी होने की अनुमति प्रदान करता है। यह तालिका निम्नलिखित श्रृंखला में निर्मित है: इनपुट (अभिकलित्र में ही आने वाले वेष्टकों के लिए), आउटपुट (अनुमार्गण से पूर्व स्थानीय रूप से उत्पन्न वेष्टकों को परिवर्तित करने के लिए) और अग्रिम (अभिकलित्र के माध्यम से भेजे जा रहे वेष्टकों को परिवर्तित करने के लिए) है।

एनएफ तालिका

एनएफ तालिका नेटफिल्टर का नया वेष्टक-निस्यंदन भाग है। एनएफटी नई उपयोक्‍ता समष्टि उपयोगिता है जो आईपी तालिका, आईपी6तालिका, एआरपीतालिका और ईबीतालिका को प्रतिस्थापित करती है।

एनएफ तालिका कर्नेल यन्त्र लिनक्स कर्नेल में एक साधारण आभासी यन्त्र जोड़ता है, जो एक जालक्रम वेष्टक का निरीक्षण करने के लिए बाईटकोड को निष्पादित करने में सक्षम है और यह निर्णय लेता है कि उस वेष्टक को कैसे संभाला जाना चाहिए। इस अंतरापृष्ठ यन्त्र द्वारा क्रियान्वित किए गए संचालन को अभिप्रायपूर्वक आधारभूत बनाया गया है: यह वेष्टक से ही डेटा प्राप्त कर सकता है, संबद्ध अधिआंकड़ा (उदाहरण के लिए भीतर का अंतरापृष्ठ) पर एक नज़र डाल सकता है और संयोजन अनुसरण डेटा का प्रबंधन कर सकता है। उस डेटा के आधार पर निर्णय लेने के लिए अंकगणित, बिटवाइज़ और तुलना संचालकों का उपयोग किया जा सकता है। वास्तविक यन्त्र डेटा के समूहों (सामान्यतः आईपी पते) में प्रकलन करने में भी सक्षम है, जिससे कई तुलना संचालन को एकल समूह लुकअप से परिवर्तित किया जा सकता है।^[4]

यह धरोहर एक्सतालिका (आईपी तालिका, आदि) सांकेतिक अंक के विपरीत है, जिसमें विज्ञप्ति जागरूकता सांकेतिक अंक में इतनी गहराई से अंतर्निहित है कि इसे ‍—‌आइपीवी4, आइपीवी6, एआरपी और ईथरनेट ब्रिजिंग के लिए चार बार दोहराया जाना पड़ता है। सुरक्षा भित्ति के रूप में सामान्य तरीके से उपयोग किए जाने के लिए यन्त्र बहुत अधिक विज्ञप्ति-विशिष्ट हैं।^[4] आईपी तालिका पर मुख्य लाभ लिनक्स कर्नेल एबीआई का सरलीकरण, सांकेतिक अंक दोहराव में कमी, उन्नत त्रुटि प्रेषण और अधिक कुशल निष्पादन, भंडारण, और वृद्धिशील, निस्यंदन नियमों के परमाणु परिवर्तन हैं।

वेष्टक एकीकरण

नेटफिल्टर के संयोजन अनुसरण (एनएफ_कनेक्टट्रैक_आइपीवी4 मापांक) तक पहुँचने से पूर्व एनएफ_डीफ़्रैग_आइपीवी4 मापांक आइपीवी4 वेष्टकों को एकीकृत करेगा। यह कर्नेल में संयोजन अनुसरण और एनएटी सहायक मापांक (जो छोटी-एएलजी का एक रूप है) के लिए आवश्यक है जो केवल सम्पूर्ण वेष्टक पर दृढ़ता से करते हैं,आवश्यक रूप से खंडों पर नहीं।

आइपीवी6 डी खंडक अपने आप में एक मापांक नहीं है, परन्तु एनएफ_कनेक्टट्रैक_आइपीवी6 मापांक में एकीकृत है।

संयोजन अनुसरण

नेटफिल्टर प्राधार के शीर्ष पर निर्मित महत्वपूर्ण विशेषताओं में से एक संयोजन अनुसरण है।^[5] संयोजन अनुसरण कर्नेल को सभी तार्किक जालक्रम संयोजनों या सत्रों का पंक्ति रखने की अनुमति देती है और इस तरह उन सभी वेष्टकों से संबंधित होती है जो उस संयोजन को बना सकते हैं। एनएटी इसी तरह से सभी संबंधित वेष्टकों का अनुवाद करने के लिए इस सूचना पर निर्भर करता है और आईपीतालिका इस सूचना का उपयोग स्टेटफुल सुरक्षा भित्ति के रूप में कार्य करने के लिए कर सकता है।

संयोजन स्थिति हालांकि किसी भी ऊपरी स्तर के अवस्था से पूर्णतया से स्वतंत्र है, जैसे कि टीसीपी या एससीटीपी की अवस्था है। इसका एक कारण यह है कि जब केवल अग्रेषण वेष्टक, अर्थात, कोई स्थानीय वितरण नहीं होता है, तो टीसीपी यंत्र को जरूरी नहीं लगाया जा सकता है। यहां तक कि यूडीपी, आईपीसीईसी (एएच/ईएसपी), जीआरई और और अन्य सुरंगन विज्ञप्ति जैसे संयोजन रहित-प्रणाली प्रसारण में कम-से-कम एक आभासी संयोजन स्थिति है। ऐसे विज्ञप्ति के लिए अनुमानी प्रायः निष्क्रियता के लिए एक पूर्व निर्धारित मध्यांतर मान पर आधारित होता है, जिसकी समाप्ति के पश्चात नेटफिल्टर संयोजन हटा दिया जाता है।

प्रत्येक नेटफिल्टर संयोजन को विशिष्ट रूप से (स्तर-3 विज्ञप्ति, स्त्रोत पता, गंतव्य पता, स्तर-4 विज्ञप्ति, स्तर-4 की) टपल द्वारा पहचाना जाता है। स्तर-4 कुंजी परिवहन विज्ञप्ति पर निर्भर करती है; टीसीपी/यूडीपी के लिए यह पत्तन संख्या है, सुरंगों के लिए यह उनकी सुरंग आईडी हो सकती है, परन्तु अन्यथा केवल शून्य है, जैसे कि यह टपल का भाग नहीं था। सभी स्थितियों में टीसीपी पत्तन का निरीक्षण करने में सक्षम होने के लिए वेष्टकों को अनिवार्य रूप से डी-खंडित किया जाएगा।

नेटफिल्टर संयोजन को उपयोक्ता समष्टि साधन कनेक्टट्रैक के साथ युक्तियोजित किया जा सकता है।

आईपी तालिका वेष्टक निस्यंदन नियमों को अधिक शक्तिशाली और प्रबंधित करने में आसान बनाने के लिए संयोजन की जानकारी जैसे अवस्थाओं, स्थितियों और अधिक की जाँच का उपयोग कर सकते हैं। सबसे आम अवस्था हैं:

नया: एक नया संयोजन बनाने का प्रयास कर रहा है।
स्थापित: पूर्व से उपस्थित संयोजनो का भाग है।
सम्बद्ध: एक वेष्टक को सौंपा गया है जो एक नया संयोजन प्रारंभ कर रहा है और और जिसे "अपेक्षित" किया गया है; उपरोक्त छोटी-एएलजी इन अपेक्षाओं को स्थापित करते हैं, उदाहरण के लिए, जब एनएफ_कनेक्टट्रैक_एफ़टीपी मापांक एक एफ़टीपी पीएएसवी समादेश देखता है।
अमान्य: वेष्टक को अमान्य वेष्टक पाया गया, उदाहरण के लिए, यह टीसीपी स्थिति आरेख का पालन नहीं करेगा।
अननुसरित: एक विशेष स्थिति जो किसी विशेष वेष्टक के लिए संयोजन अनुसरण को उपमार्गन करने के लिए व्यवस्थापक द्वारा निर्दिष्ट किया जा सकता है (ऊपर रॉ तालिका देखें)।

एक सामान्य उदाहरण यह होगा कि कनट्रैक उप-प्रणाली जो पहला वेष्टक देखता है उसे "नए" में वर्गीकृत किया जाएगा, उत्तर को "स्थापित" वर्गीकृत किया जाएगा और एक आईसीएमपी त्रुटि "संबंधित" होगी। एक आईसीएमपी त्रुटि वेष्टक जो किसी ज्ञात संयोजन से मेल नहीं खाता है, वह "अमान्य" होगा।

संयोजन अनुसरण सहायक

प्लगइन मापांक के उपयोग के माध्यम से, संयोजन अनुसरण को एप्लिकेशन-स्तर विज्ञप्ति का ज्ञान दिया जा सकता है और इस प्रकार यह समझा जा सकता है कि दो या दो से अधिक अलग-अलग संयोजन संबंधित हैं। उदाहरण के लिए, एफ़टीपी विज्ञप्ति पर विचार करें। एक नियंत्रण संयोजन स्थापित किया जाता है, परन्तु जब भी डेटा स्थानांतरित किया जाता है, इसे स्थानांतरित करने के लिए एक अलग संयोजन स्थापित किया जाता है। जब एनएफ_कनेक्टट्रैक_एफ़टीपी मापांक लोड किया जाता है, तो एफ़टीपी डेटा संयोजन के पहले वेष्टक को "नए' के बजाय "संबंधित" के रूप में वर्गीकृत किया जाएगा, क्योंकि यह तार्किक रूप से उपस्थित संयोजन का भाग है।

सहायक एक समय में केवल एक वेष्टक का निरीक्षण करते हैं, इसलिए यदि संयोजन अनुसरण के लिए महत्वपूर्ण सूचना दो वेष्टकों में विभाजित है, या तो आईपी विखंडन या टीसीपी विभाजन के कारण, सहायक आवश्यक रूप से प्रतिरूप को पहचान नहीं पाएगा और इसलिए अपना संचालन नहीं करेगा। आईपी विखंडन को एकीकरण की आवश्यकता वाले संयोजन अनुसरण उप-प्रणाली से निपटा जाता है, हालाँकि टीसीपी विभाजन को नियंत्रित नहीं किया जाता है। एफ़टीपी की स्थिति में, विभाजन को मानक खंड आकार के साथ पीएएसवी जैसे समादेश के "निकट" नहीं होने के रूप में माना जाता है, इसलिए नेटफिल्टर में भी इसका निपटारा नहीं किया जाता है।

जालक्रम पता अनुवाद

प्रत्येक संयोजन में मूल पतों और उत्तर पतों का एक समूह होता है, जो प्रारंभ में वही आरंभ करते हैं। नेटफिल्टर में एनएटी केवल उत्तर पते को परिवर्तित कर और जहां वांछित हो, पत्तन को परिवर्तित कर कार्यान्वित किया जाता है। जब वेष्टक प्राप्त होते हैं, तो उनके संयोजन टपल की तुलना उत्तर पता युग्म (और पत्तन) से भी की जाएगी। एनएटी के लिए खंड-मुक्त होना भी एक आवश्यकता है। (यदि आवश्यकता हो, आइपीवी4 वेष्टक को सामान्य, गैर-नेटफिल्टर, आइपीवी4 चित्ति द्वारा पुनः खंडित किया जा सकता है)।

एनएटी सहायक

संयोजन अनुसरण सहायक के समान, एनएटी सहायक एक वेष्टक निरीक्षण करेंगे और मूल पतों को आयभार में उत्तर पतों द्वारा प्रतिस्थापित करेंगे।

अग्रिम नेटफिल्टर परियोजनाएं

हालांकि कर्नेल मापांक नहीं है जो सीधे नेटफिल्टर सांकेतिक अंक का उपयोग करते है, नेटफिल्टर परियोजना कुछ और उल्लेखनीय सॉफ्टवेयर का आयोजन करते है।

कनेक्टट्रैक-साधन

कनेक्टट्रैक-साधन लिनक्स के लिए उपयोक्ता समष्टि साधन का एक समूह है जो प्रणाली प्रशासकों को संयोजन अनुसरण प्रविष्टियों और तालिकाओं के साथ अन्तःक्रिया करने की अनुमति प्रदान करता है। संवेष्टक में कनेक्टट्रैकड डेमॉन और समादेश पंक्ति अंतरापृष्ठ कनेक्टट्रैक सम्मिलित है। उपयोक्‍ता समष्टि डेमॉन कनेक्टट्रैकड का उपयोग उच्च उपलब्धता समूह-आधारित स्टेटफुल सुरक्षा भित्ति को सक्षम करने और स्टेटफुल सुरक्षा भित्ति के उपयोग के आँकड़े एकत्र करने के लिए उपयोग किया जा सकता है। समादेश पंक्ति अंतरापृष्ठ कनेक्टट्रैक अप्रचलित / प्रोक/नेट/ एनएफ_कनेक्टट्रैक की तुलना में संयोजन अनुसरण प्रणाली को अधिक नम्य अंतरापृष्ठ प्रदान करता है।

आईपीसमूह

संयोजन अनुसरण जैसे अन्य विस्तारण के विपरीत, आईपीसमूह ^[6] कोर नेटफिल्टर सांकेतिक अंक की तुलना में आईपीतालिका से अधिक संबंधित है। उदाहरण के लिए, आईपीसमूह नेटफिल्टर अंकुश का उपयोग नहीं करता है, परन्तु वास्तव में आईपी समूहों से मिलान करने और न्यूनतम संशोधन (समूह/स्पष्ट) करने के लिए एक आईपीतालिका मापांक प्रदान करता है।

आईपीसमूह नामक उपयोक्ता समष्टि साधन का उपयोग लिनक्स कर्नेल में तथाकथित "आईपी समूह" को स्थापित करने, बनाए रखने और निरीक्षण करने के लिए किया जाता है। एक आईपी समूह में सामान्यतः आईपी पतों का एक समूह होता है, परन्तु इसके "प्रकार" के आधार पर अन्य जालक्रम संख्याओं के समूह भी हो सकते हैं। ये समूह अरक्षित आईपीतालिका नियमों की तुलना में बहुत अधिक कुशल हैं, परन्तु निश्चित रूप से अधिक स्मृति पदचिह्न के साथ आ सकते हैं। उपयोगकर्ता के लिए इष्टतम समाधान चुनने के लिए विभिन्न भंडारण कलन विधि (मेमोरी में डेटा संरचनाओं के लिए) आईपीसमूह में प्रदान किए जाते हैं।

एक समूह में कोई भी प्रविष्टि दूसरे समूह से बंधी हो सकती है, जिससे परिष्कृत मिलान संचालन की अनुमति मिलती है। एक समूह को केवल तभी हटाया (नष्ट) किया जा सकता है जब कोई आईपीतालिका नियम या अन्य समूह इसका संदर्भ नहीं दे रहे हों।

`एसवाईएन प्रॉक्सी`

सिंप्रोक्सी लक्ष्य ऐसी स्थितियों में संयोजन अनुसरण द्वारा लगाए गए बड़े प्रदर्शन दंड के बिना बड़े एसवाईएन बहुतायत से निपटना संभव बनाता है। सिंप्रोक्सी लक्ष्य के लिए प्रारंभिक एसवाईएन अनुरोधों को पुनर्निर्देशित करके, संयोजन अनुसरण के भीतर संयोजन तब तक पंजीकृत नहीं होते जब तक कि वे एक मान्य अंतिम एसीके स्थिति तक नहीं पहुंच जाते हैं, संभावित रूप से अमान्य संयोजनों की बड़ी संख्याओं को ध्यान में रखते हुए संयोजन अनुसरणों को मुक्त कर देते हैं। इस तरह, विशाल एसवाईएन बहुतायत को प्रभावी तरीके से नियंत्रित किया जा सकता है।।^[7]

3 नवंबर 2013 को, लिनक्स कर्नेल प्रमुख पंक्ति के संस्करण 3.12 के विमोचन के साथ, एसवाईएन प्रॉक्सी कार्यक्षमता को नेटफिल्टर में विलय कर दिया गया था।^[8]^[9]

यूलॉगड

यूलॉगड नेटफिल्टर उप-प्रणाली से वेष्टक और घटना सूचना प्राप्त करने और लॉग करने के लिए एक उपयोक्ता समष्टि डेमॉन है। आईपी_तालिका वेष्टकों को उपयोक्‍ता समष्टि पंक्तियन क्रियाविधि के माध्यम से वितरित कर सकता हैं और संयोजन अनुसरण वेष्टकों या घटनाओं (जैसे संयोजन टियरडाउन, एनएटी व्यवस्थापन) के विषय में और सूचनाओं का आदान-प्रदान करने के लिए यूलॉगड के साथ अंत:क्रिया कर सकता है।

उपयोक्‍ता समष्टि पुस्तकालय

नेटफिल्टर पुस्तकालयों का एक समूह भी प्रदान करता है जिसमें उनके नाम के उपसर्ग के रूप में लिबनेटनिस्यंदन होता है, जिनका उपयोग उपयोक्ता समष्टि से विभिन्न कार्यों को करने के लिए किया जा सकता है। ये पुस्तकालय जीएनयू जीपीएल संस्करण 2 के अंतर्गत जारी किए गए हैं। विशेष रूप से, वे निम्नलिखित हैं:

लिबनेटनिस्यंदन_पंक्ति: आईपी तालिका के साथ संयोजन के रूप में उपयोक्ता स्थान वेष्टक पंक्तिबद्ध करने की अनुमति प्रदान करता है; जो लिबएनएफनेटलिंक पर आधारित है।
लिबनेटनिस्यंदन_कनेक्टट्रैक: उपयोक्‍ता समष्टि से संयोजन अनुसरण प्रविष्टियों में प्रकलन की अनुमति प्रदान करता है; जो लिबएनएफनेटलिंक पर आधारित है।
लिबनेटनिस्यंदन_लॉग: आईपी तालिका द्वारा उत्पन्न लॉग संदेशों के संग्रह की अनुमति प्रदान करता है; जो लिबएनएफनेटलिंक पर आधारित है।
लिबएनएल-3-नेटनिस्यंदन: पंक्तियों, संयोजन अनुसरण और लॉग पर संचालन की अनुमति प्रदान करता है; जो लिबएनएल परियोजना का भाग है।^[10]
लिबआईपीटीसी: आईपी तालिका सुरक्षा भित्ति नियम समूह में परिवर्तन करने की अनुमति प्रदान करती है; यह किसी नेटलिंक पुस्तकालय पर आधारित नहीं है और इसका एपीआई आंतरिक रूप से आईपीतालिका को उपयोगिताओं द्वारा उपयोग किया जाता है।
लिबआईपीसमूह: आईपी समूह पर संचालन की अनुमति प्रदान करता है; लिबएमएनएल पर आधारित है।

नेटफिल्टर कार्यशाला

नेटफिल्टर परियोजना विकासक के लिए एक वार्षिक बैठक आयोजित करता है, जिसका उपयोग चल रहे अनुसंधान और विकास प्रयासों पर चर्चा करने के लिए किया जाता है। 2018, नेटफिल्टर कार्यशाला जून 2018 में बर्लिन, जर्मनी में हुई।^[11]

यह भी देखें

बर्कले वेष्टक निस्यंदन
जेनीटेक बनाम मैकहार्डी (2018) अभियोग
आईपी वास्तविक परिवेषक (आईपीवीएस, एलवीएस का भाग)
आईपी श्रृंखला, आईपी तालिका के पूर्ववर्ती
आईपी एफडब्ल्यू
लिनक्स वास्तविक परिवेषक (एलवीएस)
नेटलिंक, नेटफिल्टर विस्तारण द्वारा उपयोग किया जाने वाला एपीआई
जालक्रम अनुसूचक, जालक्रम चित्ति का एक अन्य निम्न-स्तरीय घटक
एनपीएफ (सुरक्षा भित्ति)
पीएफ (सुरक्षा भित्ति)
सरल सुरक्षा भित्ति

संदर्भ

↑ "netfilter/iptables project homepage - The netfilter.org project". netfilter.org. Retrieved 2014-07-04.
↑ "Flow offload infrastructure". LWN.net.
↑ "Flow offload infrastructure". LWN.net.
↑ ^4.0 ^4.1 Jonathan Corbet (2013-08-20). "The return of nftables". LWN.net. Retrieved 2013-10-22.
↑ Neira Ayuso, Pablo (14 June 2006). "Netfilter's Connection Tracking System" (PDF).
↑ "IP sets". ipset.netfilter.org. Retrieved 2014-07-04.
↑ Patrick McHardy (2013-08-07). "netfilter: implement netfilter SYN proxy". LWN.net. Retrieved 2013-11-05.
↑ "netfilter: add SYNPROXY core/target". kernel.org. 2013-08-27. Retrieved 2013-11-05.
↑ "netfilter: add IPv6 SYNPROXY target". kernel.org. 2013-08-27. Retrieved 2013-11-05.
↑ "Netfilter Library (libnl-nf)". infradead.org. 2013-04-02. Retrieved 2013-12-28.
↑ "14th Netfilter Workshop". workshop.netfilter.org. 2018-09-26. Retrieved 2018-09-26.

बाहरी संबंध

[1] "netfilter/iptables project homepage - The netfilter.org project". netfilter.org. Retrieved 2014-07-04.

[flow-offload-infrastructure-1-2] "Flow offload infrastructure". LWN.net.

[flow-offload-infrastructure-2-3] "Flow offload infrastructure". LWN.net.

[lwn-nftables-4] 4.0 ^4.1 Jonathan Corbet (2013-08-20). "The return of nftables". LWN.net. Retrieved 2013-10-22.

[5] Neira Ayuso, Pablo (14 June 2006). "Netfilter's Connection Tracking System" (PDF).

[6] "IP sets". ipset.netfilter.org. Retrieved 2014-07-04.

[7] Patrick McHardy (2013-08-07). "netfilter: implement netfilter SYN proxy". LWN.net. Retrieved 2013-11-05.

[8] "netfilter: add SYNPROXY core/target". kernel.org. 2013-08-27. Retrieved 2013-11-05.

[9] "netfilter: add IPv6 SYNPROXY target". kernel.org. 2013-08-27. Retrieved 2013-11-05.

[10] "Netfilter Library (libnl-nf)". infradead.org. 2013-04-02. Retrieved 2013-12-28.

[11] "14th Netfilter Workshop". workshop.netfilter.org. 2018-09-26. Retrieved 2018-09-26.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

Anonymous

Search

नेटफिल्टर: Difference between revisions

Namespaces

More

Page actions

Latest revision as of 17:50, 26 May 2023

Contents

इतिहास

उपयोक्‍ता समष्टि उपयोगिता क्रमादेश

आईपी तालिका

एनएफ तालिका

वेष्टक एकीकरण

संयोजन अनुसरण

संयोजन अनुसरण सहायक

जालक्रम पता अनुवाद

एनएटी सहायक

अग्रिम नेटफिल्टर परियोजनाएं

कनेक्टट्रैक-साधन

आईपीसमूह

`एसवाईएन प्रॉक्सी`

यूलॉगड

उपयोक्‍ता समष्टि पुस्तकालय

नेटफिल्टर कार्यशाला

यह भी देखें

संदर्भ

बाहरी संबंध

Navigation

Navigation

Wiki tools

Wiki tools

@@ Line 13: / Line 13: @@
 | latest preview version = <!-- {{wikidata|property|edit|reference|Q14579|P548=Q51930650|P348}} -->
 | latest preview date    = {{start date and age|{{wikidata|qualifier|Q14579|P548=Q51930650|P348|P577}}}}
-| operating system     = [[Linux]]
+| operating system     = [[लिनक्स]]
-| programming language = [[C (programming language)|C]]
+| programming language = [[सी (programming language)|सी]]
-| genre                = {{ubl|[[Linux kernel module]]|[[Packet filter]]/firewall}}
+| genre                = {{ubl|[[लिनक्स कर्नेल मापांक]]|[[वेष्टक निस्यंदन]]/सुरक्षा भित्ति}}
-| license              = [[GNU&nbsp;GPL]]
+| license              = [[जीएनयू&nbsp;जीपीएल]]
-| website              = {{URL|https://netfilter.org}}
+| website              = {{URL|https://नेटफिल्टर.ओआरजी}}
 }}
-नेटफिल्टर [[लिनक्स कर्नेल]] द्वारा प्रदान किया गया एक [[सॉफ्टवेयर ढांचा]] है जो विभिन्न [[ संगणक संजाल ]] से संबंधित संचालन को अनुकूलित हैंडलर के रूप में कार्यान्वित करने की अनुमति देता है। नेटफिल्टर [[पैकेट फिल्टर]], [[नेटवर्क एड्रेस ट्रांसलेशन]] और [[ पोर्ट अनुवाद ]] के लिए विभिन्न कार्य और संचालन प्रदान करता है, जो एक नेटवर्क और [[फ़ायरवॉल (कंप्यूटिंग)]] पैकेट के माध्यम से पैकेट को एक नेटवर्क के भीतर संवेदनशील स्थानों तक पहुँचने के लिए आवश्यक कार्यक्षमता प्रदान करता है।
+नेटफिल्टर [[लिनक्स कर्नेल]] द्वारा प्रदान किया गया एक [[सॉफ्टवेयर ढांचा|प्राधार]] है जो विभिन्न [[ संगणक संजाल |जालक्रमण]] से संबंधित कार्यों को अनुकूलित प्रबंधकर्ता के रूप में कार्यान्वित करने की अनुमति प्रदान करता है। नेटफिल्टर [[पैकेट फिल्टर|वेष्टक निस्यंदन]], [[नेटवर्क एड्रेस ट्रांसलेशन|जालक्रम पता अनुवाद]] और [[ पोर्ट अनुवाद | पत्तन अनुवाद]] के लिए विभिन्न कार्य और संचालन प्रदान करता है, जो जालक्रम  के माध्यम से वेष्टकों को निर्देशित करने और वेष्टकों को जालक्रम के भीतर संवेदनशील स्थानों तक पहुँचने से रोकने के लिए आवश्यक कार्यक्षमता प्रदान करता है।
-नेटफिल्टर लिनक्स कर्नेल के अंदर [[हुकिंग]] के एक सेट का प्रतिनिधित्व करता है, विशिष्ट [[कर्नेल मॉड्यूल]] को कर्नेल के नेटवर्किंग स्टैक के साथ [[कॉलबैक (कंप्यूटर प्रोग्रामिंग)]] कार्यों को पंजीकृत करने की अनुमति देता है। उन कार्यों, जो आमतौर पर फ़िल्टरिंग और संशोधन नियमों के रूप में ट्रैफ़िक पर लागू होते हैं, को हर उस पैकेट के लिए कहा जाता है जो नेटवर्किंग स्टैक के भीतर संबंधित हुक को पार करता है।<ref>{{cite web
+नेटफिल्टर लिनक्स कर्नेल के भीतर [[हुकिंग|अंकुश]] के एक समूह का प्रतिनिधित्व करता है, विशिष्ट [[कर्नेल मॉड्यूल|कर्नेल मापांक]] को कर्नेल के जालक्रम चित्ति के साथ [[कॉलबैक (कंप्यूटर प्रोग्रामिंग)|पुनः साक्षात्कार]]  कार्यों को पंजीकृत करने की अनुमति प्रदान करता है। उन कार्यों, जो सामान्यतः निस्यंदन और संशोधन नियमों के रूप में परियात पर अनुप्रयुक्त होते हैं, प्रत्येक वेष्टकों के लिए कहा जाता है जो जालक्रम चित्ति के भीतर संबंधित अंकुश को पार करता है।<ref>{{cite web
   | url        = https://www.netfilter.org/
   | title      = netfilter/iptables project homepage - The netfilter.org project
@@ Line 30: / Line 30: @@
 == इतिहास ==
-[[Image:Netfilter-components.svg|300px|thumb|(कुछ) विभिन्न नेटफिल्टर घटकों का संबंध]][[रस्टी रसेल]] ने 1998 में नेटफिल्टर/आईपीटेबल्स प्रोजेक्ट शुरू किया; उन्होंने परियोजना के पूर्ववर्ती, [[ipchains]] को भी लिखा था। जैसे-जैसे परियोजना बढ़ी, उन्होंने 1999 में नेटफिल्टर कोर टीम (या बस कोरटेम) की स्थापना की। उनके द्वारा उत्पादित सॉफ्टवेयर (इसके बाद नेटफिल्टर कहा जाता है) GNU जनरल पब्लिक लाइसेंस (GPL) लाइसेंस का उपयोग करता है, और मार्च 2000 में इसे संस्करण 2.4 में मिला दिया गया। [[लिनक्स कर्नेल मेनलाइन]] का x।
+[[Image:Netfilter-components.svg|300px|thumb|(कुछ) विभिन्न नेटफिल्टर घटकों का संबंध।]][[रस्टी रसेल]] ने 1998 में, नेटफिल्टर/आईपीतालिका परियोजनाओं प्रारंभ को किया; उन्होंने परियोजना के पूर्ववर्ती, [[ipchains|आईपी श्रृंखला]] को भी लिखा था। जैसे-जैसे परियोजना बढ़ी, उन्होंने 1999 में नेटफिल्टर कोर समूह (या केवल कोर समूह) की स्थापना की। उनके द्वारा उत्पादित सॉफ्टवेयर (इसके बाद नेटफिल्टर कहा जाता है) जीएनयू सामान्य जनता अनुज्ञापत्र (GPL) का उपयोग करता है और मार्च 2000 में इसे [[लिनक्स कर्नेल मेनलाइन|लिनक्स कर्नेल प्रमुख पंक्ति]] के संस्करण 2.4.x में मिला दिया गया।
-अगस्त 2003 में [[हेरोल्ड वेल्टे]] कोरटीम के अध्यक्ष बने। अप्रैल 2004 में, जीपीएल का पालन किए बिना [[राउटर (कंप्यूटिंग)]] में प्रोजेक्ट के सॉफ़्टवेयर [[ अंतः स्थापित प्रणाली ]] को वितरित करने वालों पर परियोजना द्वारा कार्रवाई के बाद, [[जर्मनी]] की एक अदालत ने वेल्टे को [[साइटकॉम]] जर्मनी के खिलाफ एक ऐतिहासिक [[निषेधाज्ञा]] दी, जिसने जीपीएल के नियमों का पालन करने से इनकार कर दिया। शर्तें ([[जीएनयू जनरल पब्लिक लाइसेंस]]#कानूनी स्थिति|जीपीएल से संबंधित विवाद देखें)। सितंबर 2007 में पैट्रिक मैकहार्डी, जिन्होंने पिछले वर्षों में विकास का नेतृत्व किया, को कोरटीम के नए अध्यक्ष के रूप में चुना गया।
+अगस्त 2003 में [[हेरोल्ड वेल्टे]] कोर समूह के अध्यक्ष बने। अप्रैल 2004 में, जीपीएल के अनुपालन के बिना [[राउटर (कंप्यूटिंग)|अनुर्मागक]] में अंतःस्थापित परियोजना के सॉफ़्टवेयर को वितरित करने वालों पर परियोजना द्वारा कड़ी कर्रवाई के पश्चात, एक जर्मन अदालत ने वेल्टे को साइटकॉम जर्मनी के विरुद्ध एक ऐतिहासिक [[निषेधाज्ञा]] दी, जिसने जीपीएल के नियमों का पालन करने से अस्वीकृत कर दिया (देखें जीपीएल- संबंधित विवाद)। सितंबर 2007 में पैट्रिक मैकहार्डी, जिन्होंने पिछले वर्षों में विकास का नेतृत्व किया, जिनको कोरसमूह के नए अध्यक्ष के रूप में चुना गया था।
-Iptables से पहले, Linux फ़ायरवॉल बनाने के लिए प्रमुख सॉफ़्टवेयर पैकेज Linux कर्नेल 2.2.x में ipchains और Linux कर्नेल 2.0.x में [[ipfwadm]] थे, जो बदले में बर्कले सॉफ़्टवेयर वितरण के [[ipfirewall]] पर आधारित था। दोनों ipchains और ipfwadm नेटवर्किंग कोड को बदलते हैं ताकि वे पैकेटों में हेरफेर कर सकें, क्योंकि लिनक्स कर्नेल में नेटफिल्टर की शुरूआत तक एक सामान्य पैकेट नियंत्रण ढांचे की कमी थी।
+आईपी तालिका से पूर्व, लिनक्स सुरक्षा भित्ति बनाने के लिए प्रमुख सॉफ़्टवेयर संवेष्टक लिनक्स कर्नेल 2.2.x में आईपी श्रृंखला और लिनक्स कर्नेल 2.0.x में [[ipfwadm|आईपीएफडब्ल्यूएडीएम]] थे, जो बदले में बीएसडी के आईपीएफडब्ल्यू पर आधारित थे। दोनों आईपी श्रृंखला और आईपीएफडब्ल्यूएडीएम जालक्रम सांकेतिक अंक को परिवर्तित करते हैं ताकि वे वेष्टकों में प्रकलन कर सकें, क्योंकि लिनक्स कर्नेल में नेटफिल्टर के प्रारंभ तक एक सामान्य वेष्टक नियंत्रण प्राधार की कमी थी।
-जबकि ipchains और ipfwadm पैकेट फ़िल्टरिंग और NAT (विशेष रूप से तीन विशिष्ट प्रकार के नेटवर्क एड्रेस ट्रांसलेशन, जिसे मास्केरडिंग, पोर्ट फ़ॉरवर्डिंग और रीडायरेक्शन कहा जाता है) को जोड़ती है, नेटफ़िल्टर नीचे वर्णित कई भागों में पैकेट संचालन को अलग करता है। प्रत्येक पैकेट तक पहुँचने के लिए अलग-अलग बिंदुओं पर नेटफिल्टर हुक से जुड़ता है। कनेक्शन ट्रैकिंग और NAT सबसिस्टम ipchains और ipfwadm के भीतर अल्पविकसित संस्करणों की तुलना में अधिक सामान्य और अधिक शक्तिशाली हैं।
+जबकि आईपी श्रृंखला और आईपीएफडब्ल्यूएडीएम वेष्टक निस्यंदन और एनएटी (विशेष रूप से तीन विशिष्ट प्रकार के एनएटी, जिसे स्वांग, पत्तन अग्रेषण और अनुप्रेषण कहा जाता है) को जोड़ती है, नेटफ़िल्टर नीचे वर्णित कई भागों में वेष्टक संचालन को अलग करता है। प्रत्येक वेष्टक तक पहुँचने के लिए अलग-अलग बिंदुओं पर नेटफिल्टर अंकुश से जुड़ता है। संयोजन अनुसरण और एनएटी उप-प्रणाली आईपी श्रृंखला और आईपीएफडब्ल्यूएडीएम के भीतर अल्पविकसित संस्करणों की तुलना में अधिक सामान्य और अधिक शक्तिशाली हैं।
-में [[IPv4]] और [[IPv6]] फ्लो ऑफलोड इंफ्रास्ट्रक्चर को जोड़ा गया, जिससे सॉफ्टवेयर फ्लो टेबल फॉरवर्डिंग और हार्डवेयर ऑफलोड सपोर्ट में तेजी आई।<ref name="flow-offload-infrastructure-1">{{cite web
+में [[IPv4|आइपीवी4]] और [[IPv6|आइपीवी6]] प्रवाह ऑफलोड आधारभूत संरचना को जोड़ा गया, जिससे सॉफ्टवेयर प्रवाह तालिका अग्रेषण और हार्डवेयर ऑफलोड समर्थन में तीव्रता आई।<ref name="flow-offload-infrastructure-1">{{cite web
   | url     = https://lwn.net/Articles/738214/
   | title   = Flow offload infrastructure
@@ Line 47: / Line 47: @@
-== यूजरस्पेस यूटिलिटी प्रोग्राम्स ==
+== उपयोक्‍ता समष्टि उपयोगिता क्रमादेश ==
-[[File:Netfilter-packet-flow.svg|thumb|right|600px|लीगेसी iptables पैकेट फ़िल्टरिंग के साथ नेटफिल्टर के माध्यम से नेटवर्क पैकेट का प्रवाह]]* {{man|8|iptables|man.cx||inline}}
+[[File:Netfilter-packet-flow.svg|thumb|right|600px|धरोहर आईपी तालिका वेष्टक निस्यंदन के साथ नेटफिल्टर के माध्यम से जालक्रम वेष्टक का प्रवाह।]]
-* {{man|8|ip6tables|man.cx||inline}}
-* {{man|8|ebtables|man.cx||inline}}
-* {{man|8|arptables|man.cx||inline}}
-* {{man|8|ipset|man.cx||inline}}
-* {{man|8|nftables|man.cx||inline}}
-=== iptables ===
+* {{man|8|आईपीतालिका|man.cx||inline}}
-{{Main|iptables}}
-कर्नेल मॉड्यूल नामित <code>ip_tables</code>, <code>ip6_tables</code>, <code>arp_tables</code> (अंडरस्कोर नाम का हिस्सा है), और <code>ebtables</code> नेटफिल्टर हुक सिस्टम के लीगेसी पैकेट फ़िल्टरिंग हिस्से को शामिल करें। वे फ़ायरवॉल नियमों को परिभाषित करने के लिए एक तालिका-आधारित प्रणाली प्रदान करते हैं जो पैकेटों को फ़िल्टर या रूपांतरित कर सकते हैं। तालिकाओं को उपयोगकर्ता-अंतरिक्ष उपकरण के माध्यम से प्रशासित किया जा सकता है <code>iptables</code>, <code>ip6tables</code>, <code>arptables</code>, और <code>ebtables</code>. ध्यान दें कि हालांकि दोनों कर्नेल मॉड्यूल और यूजरस्पेस यूटिलिटीज के नाम समान हैं, उनमें से प्रत्येक अलग कार्यक्षमता के साथ एक अलग इकाई है।
+* {{man|8|आईपी6तालिका|man.cx||inline}}
+* {{man|8|ईबीआईपीतालिका|man.cx||inline}}
+* {{man|8|एआरपीआईपीतालिका|man.cx||inline}}
+* {{man|8|आईपीसमूह|man.cx||inline}}
+* {{man|8|एनएफतालिका|man.cx||inline}}
-प्रत्येक तालिका वास्तव में अपना स्वयं का हुक है, और प्रत्येक तालिका को एक विशिष्ट उद्देश्य की पूर्ति के लिए पेश किया गया था। जहाँ तक नेटफिल्टर का संबंध है, यह अन्य तालिकाओं के संबंध में एक विशेष तालिका को एक विशिष्ट क्रम में चलाता है। कोई भी तालिका स्वयं को कॉल कर सकती है और यह अपने नियमों को भी निष्पादित कर सकती है, जो अतिरिक्त प्रसंस्करण और पुनरावृत्ति की संभावनाओं को सक्षम करती है।
+=== आईपी तालिका ===
+{{Main|आईपी तालिका}}
-नियमों को जंजीरों में, या दूसरे शब्दों में, नियमों की जंजीरों में व्यवस्थित किया जाता है। इन जंजीरों को पूर्वनिर्धारित शीर्षकों के साथ नामित किया गया है, जिनमें शामिल हैं <code>INPUT</code>, <code>OUTPUT</code> और <code>FORWARD</code>. ये चेन टाइटल नेटफिल्टर स्टैक में उत्पत्ति का वर्णन करने में मदद करते हैं। पैकेट रिसेप्शन, उदाहरण के लिए, में पड़ता है <code>PREROUTING</code>, जब <code>INPUT</code> स्थानीय रूप से वितरित डेटा का प्रतिनिधित्व करता है, और अग्रेषित ट्रैफ़िक इसके अंतर्गत आता है <code>FORWARD</code> ज़ंजीर। स्थानीय रूप से उत्पन्न आउटपुट से होकर गुजरता है <code>OUTPUT</code> चेन, और भेजे जाने वाले पैकेट अंदर हैं <code>POSTROUTING</code> ज़ंजीर।
+<code>आईपी तालिका</code>, <code>आईपी6_तालिका</code>, <code>एआरपी_तालिका</code> (अधोरेखांकन नाम का भाग है) और <code>ईबीतालिका</code> नाम के कर्नेल मापांक में नेटफिल्टर अंकुश प्रणाली के धरोहर वेष्टक निस्यंदन भाग सम्मिलित हैं। वे सुरक्षा भित्ति नियमों को परिभाषित करने के लिए एक तालिका-आधारित प्रणाली प्रदान करते हैं जो वेष्टकों को निस्यंदन या रूपांतरित कर सकते हैं। तालिकाओं को उपयोगकर्ता-समष्टि उपकरण <code>आईपी तालिका</code>, <code>आईपी6तालिका</code>, <code>एआरपीतालिका</code> और <code>ईबीतालिका</code> के माध्यम से प्रशासित किया जा सकता है। ध्यान दें कि हालांकि दोनों कर्नेल मापांक और उपयोक्‍ता समष्टि उपयोगिता के नाम समान हैं, उनमें से प्रत्येक भिन्न कार्यक्षमता के साथ एक भिन्न इकाई है।
-नेटफिल्टर मॉड्यूल टेबल में व्यवस्थित नहीं हैं (नीचे देखें) अपने संचालन के तरीके का चयन करने के लिए मूल की जांच करने में सक्षम हैं।
+प्रत्येक तालिका वास्तव में अपना स्वयं का अंकुश है और प्रत्येक तालिका को एक विशिष्ट उद्देश्य की पूर्ति के लिए प्रस्तुत किया गया था। जहाँ तक नेटफिल्टर का संबंध है, यह अन्य तालिकाओं के संबंध में एक विशेष तालिका को एक विशिष्ट क्रम में चलाता है। कोई भी तालिका स्वयं को स्थगित कर सकती है और यह अपने नियमों को भी निष्पादित कर सकती है, जो अतिरिक्त प्रसंस्करण और पुनरावृत्ति की संभावनाओं को सक्षम करती है।
-; <code>iptable_raw</code> मापांक
+नियमों को श्रृंखलाओं में, या दूसरे शब्दों में, नियमों की श्रृंखलाओं में व्यवस्थित किया जाता है। इन श्रृंखलाओं को पूर्वनिर्धारित शीर्षकों के साथ नामित किया गया है, जिनमें <code>इनपुट</code>,  <code>आउटपुट</code> और <code>अग्रिम</code>  सम्मिलित हैं। ये श्रृंखला शीर्षक नेटफिल्टर चित्ति में उत्पत्ति का वर्णन करने में सहायता करते हैं। वेष्टक अभिग्रहण, उदाहरण के लिए, <code>पूर्वनिर्धारण</code> में आता है, जब <code>इनपुट</code> स्थानीय रूप से वितरित डेटा का प्रतिनिधित्व करता है और अग्रेषित परियात <code>अग्रिम</code> श्रृंखला के अंतर्गत आता है। स्थानीय रूप से उत्पन्न आउटपुट, <code>आउटपुट</code> श्रृंखला से होकर गुजरता है और भेजे जाने वाले वेष्टक <code>केन्द्रनिर्धारण</code> श्रृंखला में होते हैं।
-: लोड होने पर, एक हुक पंजीकृत करता है जिसे किसी अन्य नेटफिल्टर हुक से पहले कॉल किया जाएगा। यह रॉ नामक एक तालिका प्रदान करता है जिसका उपयोग पैकेट को फ़िल्टर करने के लिए किया जा सकता है, इससे पहले कि वे अधिक मेमोरी-डिमांडिंग ऑपरेशन जैसे कनेक्शन ट्रैकिंग तक पहुँचें।
-;<code>iptable_mangle</code> मापांक
-: कनेक्शन ट्रैकिंग (नीचे देखें) के बाद चलाने के लिए एक हुक और मैंगल तालिका पंजीकृत करता है (लेकिन फिर भी किसी अन्य तालिका से पहले), ताकि पैकेट में संशोधन किया जा सके। यह पालन करने वाले नियमों द्वारा अतिरिक्त संशोधनों को सक्षम करता है, जैसे NAT या आगे फ़िल्टरिंग।
-; <code>iptable_nat</code> मापांक
-: दो हुक पंजीकृत करता है: डेस्टिनेशन नेटवर्क एड्रेस ट्रांसलेशन-बेस्ड ट्रांसफॉर्मेशन (DNAT) फिल्टर हुक से पहले लागू होते हैं, सोर्स नेटवर्क एड्रेस ट्रांसलेशन-बेस्ड ट्रांसफॉर्मेशन (SNAT) बाद में लागू होते हैं। नेटवर्क एड्रेस ट्रांसलेशन टेबल (या nat ) जो iptables को उपलब्ध कराया जाता है, केवल नेटवर्क एड्रेस ट्रांसलेशन मैपिंग के लिए एक कॉन्फ़िगरेशन डेटाबेस है, और किसी भी तरह के फ़िल्टरिंग के लिए अभिप्रेत नहीं है।
-; <code>iptable_filter</code> मापांक
-: फ़िल्टर तालिका को पंजीकृत करता है, जिसका उपयोग सामान्य-उद्देश्य फ़िल्टरिंग (फ़ायरवॉलिंग) के लिए किया जाता है।
-; <code>security_filter</code> मापांक
-: अनिवार्य एक्सेस कंट्रोल (MAC) नेटवर्किंग नियमों के लिए उपयोग किया जाता है, जैसे कि द्वारा सक्षम <code>SECMARK</code> और <code>CONNSECMARK</code> लक्ष्य। (ये तथाकथित लक्ष्य सुरक्षा-संवर्धित लिनक्स मार्करों को संदर्भित करते हैं।) अनिवार्य अभिगम नियंत्रण लिनक्स सुरक्षा मॉड्यूल जैसे SELinux द्वारा कार्यान्वित किया जाता है। फ़िल्टर तालिका के कॉल के बाद सुरक्षा तालिका को कॉल किया जाता है, फ़िल्टर तालिका में किसी भी विवेकाधीन अभिगम नियंत्रण (DAC) नियमों को किसी भी MAC नियमों से पहले प्रभावी होने की अनुमति देता है। यह टेबल निम्नलिखित बिल्ट-इन चेन प्रदान करती है: <code>INPUT</code> (कंप्यूटर में ही आने वाले पैकेट के लिए), <code>OUTPUT</code> (रूटिंग से पहले स्थानीय रूप से उत्पन्न पैकेट को बदलने के लिए), और <code>FORWARD</code> (कंप्यूटर के माध्यम से रूट किए जा रहे पैकेटों को बदलने के लिए)।
-=== nftables ===
+नेटफिल्टर मापांक तालिका में व्यवस्थित नहीं हैं (नीचे देखें) अपने संचालन के तरीके का चयन करने के लिए मूल की जांच करने में सक्षम हैं।
-{{Main|nftables}}
-nftables नेटफिल्टर का नया पैकेट-फ़िल्टरिंग भाग है। <code>nft</code> नई यूजरस्पेस उपयोगिता है जो प्रतिस्थापित करती है <code>iptables</code>, <code>ip6tables</code>, <code>arptables</code> और <code>ebtables</code>.
+; <code>आईपी तालिका_''रॉ''</code> मापांक
+: भारित होने पर, एक अंकुश पंजीकृत करता है जिसे किसी अन्य नेटफिल्टर अंकुश से पहले स्थगित किया जाएगा। यह रॉ नामक एक तालिका प्रदान करता है जिसका उपयोग वेष्टक को निस्यंदन करने के लिए किया जा सकता है, इससे पहले कि वे अधिक मेमोरी-मांग संचालन जैसे संयोजन अनुसरण तक पहुँचें।
+;<code>आईपी तालिका_मैंगल</code> मापांक
+: संयोजन अनुसरण (नीचे देखें) के बाद चलाने के लिए एक अंकुश और मैंगल तालिका पंजीकृत करता है (परन्तु फिर भी किसी अन्य तालिका से पहले), ताकि वेष्टक में संशोधन किया जा सके। यह पालन करने वाले नियमों द्वारा अतिरिक्त संशोधनों को सक्षम करता है, जैसे एनएटी या अग्रिम निस्यंदन है।
+; <code>आईपी तालिका_नेट</code> मापांक
+: दो अंकुश पंजीकृत करता है: गंतव्य जालक्रम पता अनुवाद-आधारित परिवर्तन (DNAT) निस्यंदन अंकुश से पूर्व अनुप्रयुक्त होते हैं, स्त्रोत जालक्रम पता अनुवाद-आधारित परिवर्तन (SNAT) बाद में अनुप्रयुक्त होते हैं। जालक्रम पता अनुवाद तालिका (या नेट) जो आईपी तालिका को उपलब्ध कराया जाता है, केवल जालक्रम पता अनुवाद प्रतिचित्रिण के लिए एक संरूपण आंकड़ाकोष है और किसी भी प्रकार के निस्यंदन के लिए अभिप्रेत नहीं है।
+; <code>आईपी तालिका_निस्यंदन</code> मापांक
+: निस्यंदन तालिका को पंजीकृत करता है, जिसका उपयोग सामान्य-उद्देश्य निस्यंदन (सुरक्षा भित्ति) के लिए किया जाता है।
+; <code>सुरक्षा_निस्यंदन</code> मापांक
+: अनिवार्य अभिगम नियंत्रण (MAC) जालक्रम नियमों के लिए उपयोग किया जाता है, जैसे कि <code>सेकमार्क</code> और <code>कॉनसेकमार्क</code> लक्ष्य द्वारा सक्षम है। (ये तथाकथित लक्ष्य सुरक्षा-संवर्धित लिनक्स चिह्नकों को संदर्भित करते हैं)। अनिवार्य अभिगम नियंत्रण लिनक्स सुरक्षा मापांक जैसे एसईलिनक्स द्वारा कार्यान्वित किया जाता है। निस्यंदन तालिका के निर्देश के पश्चात सुरक्षा तालिका को स्थगित किया जाता है, निस्यंदन तालिका में किसी भी विवेकाधीन अभिगम नियंत्रण (DAC) नियमों को किसी भी एमएसी नियमों से पहले प्रभावी होने की अनुमति प्रदान करता है। यह तालिका निम्नलिखित श्रृंखला में निर्मित है: <code>इनपुट</code> (अभिकलित्र में ही आने वाले वेष्टकों के लिए), <code>आउटपुट</code> (अनुमार्गण से पूर्व स्थानीय रूप से उत्पन्न वेष्टकों को परिवर्तित करने के लिए) और <code>अग्रिम</code> (अभिकलित्र के माध्यम से भेजे जा रहे वेष्टकों को परिवर्तित करने के लिए) है।
-nftables कर्नेल इंजन लिनक्स कर्नेल में एक साधारण [[ आभासी मशीन ]] जोड़ता है, जो एक नेटवर्क पैकेट का निरीक्षण करने के लिए बायटेकोड को निष्पादित करने में सक्षम है और यह निर्णय लेता है कि उस पैकेट को कैसे संभाला जाना चाहिए। इस वर्चुअल मशीन द्वारा क्रियान्वित किए गए संचालन को जानबूझकर बुनियादी बनाया गया है: यह पैकेट से ही डेटा प्राप्त कर सकता है, संबद्ध मेटाडेटा (उदाहरण के लिए इनबाउंड इंटरफ़ेस) पर एक नज़र डाल सकता है, और कनेक्शन ट्रैकिंग डेटा का प्रबंधन कर सकता है। उस डेटा के आधार पर निर्णय लेने के लिए अंकगणित, बिटवाइज़ और तुलना ऑपरेटरों का उपयोग किया जा सकता है। वर्चुअल मशीन डेटा के सेट (आमतौर पर आईपी पते) में हेरफेर करने में भी सक्षम है, जिससे कई तुलना संचालन को एकल सेट लुकअप से बदला जा सकता है।<ref name="lwn-nftables">{{cite web
+=== एनएफ तालिका ===
+{{Main|एनएफ तालिका}}
+एनएफ तालिका नेटफिल्टर का नया वेष्टक-निस्यंदन भाग है। <code>एनएफटी</code> नई उपयोक्‍ता समष्टि उपयोगिता है जो <code>आईपी तालिका</code>, <code>आईपी6तालिका</code>, <code>एआरपीतालिका</code> और  <code>ईबीतालिका</code> को प्रतिस्थापित करती है।
+एनएफ तालिका कर्नेल यन्त्र लिनक्स कर्नेल में एक साधारण [[ आभासी मशीन |आभासी यन्त्र]] जोड़ता है, जो एक जालक्रम वेष्टक का निरीक्षण करने के लिए बाईटकोड को निष्पादित करने में सक्षम है और यह निर्णय लेता है कि उस वेष्टक को कैसे संभाला जाना चाहिए। इस अंतरापृष्ठ यन्त्र द्वारा क्रियान्वित किए गए संचालन को अभिप्रायपूर्वक आधारभूत बनाया गया है: यह वेष्टक से ही डेटा प्राप्त कर सकता है, संबद्ध अधिआंकड़ा (उदाहरण के लिए भीतर का अंतरापृष्ठ) पर एक नज़र डाल सकता है और संयोजन अनुसरण डेटा का प्रबंधन कर सकता है। उस डेटा के आधार पर निर्णय लेने के लिए अंकगणित, बिटवाइज़ और तुलना संचालकों का उपयोग किया जा सकता है। वास्तविक यन्त्र डेटा के समूहों (सामान्यतः आईपी पते) में प्रकलन करने में भी सक्षम है, जिससे कई तुलना संचालन को एकल समूह लुकअप से परिवर्तित किया जा सकता है।<ref name="lwn-nftables">{{cite web
   | url        = https://lwn.net/Articles/564095/
   | title      = The return of nftables
@@ Line 89: / Line 92: @@
   | author     = Jonathan Corbet
   | publisher  = [[LWN.net]]}}</ref>
-यह लीगेसी Xtables (iptables, आदि) कोड के विपरीत है, जिसमें प्रोटोकॉल जागरूकता कोड में इतनी गहराई से अंतर्निहित है कि इसे चार बार दोहराया जाना है{{mdashb}}IPv4, IPv6, ARP और ईथरनेट ब्रिजिंग के लिए{{mdashb}}क्योंकि फ़ायरवॉल इंजन सामान्य तरीके से उपयोग किए जाने के लिए बहुत अधिक प्रोटोकॉल-विशिष्ट हैं।<ref name="lwn-nftables" />मुख्य लाभ खत्म <code>iptables</code> लिनक्स कर्नेल [[अनुप्रयोग बाइनरी इंटरफ़ेस]] का सरलीकरण, [[डुप्लिकेट कोड]] में कमी, [[त्रुटि संदेश]] में सुधार, और अधिक कुशल निष्पादन, भंडारण, और वृद्धिशील, फ़िल्टरिंग नियमों में एटोमिकिटी_(डेटाबेस_सिस्टम) परिवर्तन हैं।
-== पैकेट डीफ़्रेग्मेंटेशन ==
+यह धरोहर एक्सतालिका (आईपी तालिका, आदि) सांकेतिक अंक के विपरीत है, जिसमें विज्ञप्ति जागरूकता सांकेतिक अंक में इतनी गहराई से अंतर्निहित है कि इसे {{mdashb}}आइपीवी4, आइपीवी6, एआरपी और ईथरनेट ब्रिजिंग के लिए चार बार दोहराया जाना पड़ता है। सुरक्षा भित्ति के रूप में सामान्य तरीके से उपयोग किए जाने के लिए यन्त्र बहुत अधिक विज्ञप्ति-विशिष्ट हैं।<ref name="lwn-nftables" /> <code>आईपी तालिका</code> पर मुख्य लाभ लिनक्स कर्नेल [[अनुप्रयोग बाइनरी इंटरफ़ेस|एबीआई]] का सरलीकरण, [[डुप्लिकेट कोड|सांकेतिक अंक]] दोहराव में कमी, उन्नत [[त्रुटि संदेश|त्रुटि]] प्रेषण और अधिक कुशल निष्पादन, भंडारण, और वृद्धिशील, निस्यंदन नियमों के परमाणु परिवर्तन हैं।
-{{See also|IP fragmentation}} <code>nf_defrag_ipv4</code> ई> मॉड्यूल IPv4 पैकेट्स को नेटफिल्टर के कनेक्शन ट्रैकिंग (<code>nf_conntrack_ipv4</code> मापांक)। यह इन-कर्नेल कनेक्शन ट्रैकिंग और एनएटी हेल्पर मॉड्यूल (जो मिनी-[[ आवेदन स्तर का प्रवेश द्वार ]] का एक रूप है) के लिए आवश्यक है जो केवल पूरे पैकेट पर मज़बूती से काम करते हैं, ज़रूरी नहीं कि फ़्रैगमेंट पर भी।
+== वेष्टक एकीकरण ==
+{{See also|आईपी विखंडन}}
+नेटफिल्टर के संयोजन अनुसरण (<code>एनएफ_कनेक्टट्रैक_आइपीवी4</code> मापांक) तक पहुँचने से पूर्व <code>एनएफ_डीफ़्रैग_आइपीवी4</code>  मापांक आइपीवी4 वेष्टकों को एकीकृत करेगा। यह कर्नेल में संयोजन अनुसरण और एनएटी सहायक मापांक (जो छोटी-[[ आवेदन स्तर का प्रवेश द्वार |एएलजी]] का एक रूप है) के लिए आवश्यक है जो केवल सम्पूर्ण वेष्टक पर दृढ़ता से करते हैं,आवश्यक रूप से खंडों पर नहीं।
-IPv6 डीफ़्रेग्मेंटर अपने आप में एक मॉड्यूल नहीं है, बल्कि इसमें एकीकृत है <code>nf_conntrack_ipv6</code> मापांक।
+आइपीवी6 डी खंडक अपने आप में एक मापांक नहीं है, परन्तु <code>एनएफ_कनेक्टट्रैक_आइपीवी6</code> मापांक में एकीकृत है।
-== कनेक्शन ट्रैकिंग ==
+== संयोजन अनुसरण ==
-{{See also|Stateful packet inspection}}
+{{See also|स्टेटफुल वेष्टक निरीक्षण}}
-कनेक्शन ट्रैकिंग नेटफिल्टर ढांचे के शीर्ष पर निर्मित महत्वपूर्ण विशेषताओं में से एक है।<ref>{{cite web
+नेटफिल्टर प्राधार के शीर्ष पर निर्मित महत्वपूर्ण विशेषताओं में से एक संयोजन अनुसरण है।<ref>{{cite web
   | title = Netfilter's Connection Tracking System
   | first = Pablo
   | last  = Neira Ayuso
   | date  = 14 June 2006
-  | url   = https://people.netfilter.org/pablo/docs/login.pdf}}</ref> कनेक्शन ट्रैकिंग कर्नेल को सभी तार्किक नेटवर्क कनेक्शन या [[सत्र (कंप्यूटर विज्ञान)]] का ट्रैक रखने की अनुमति देती है, और इस तरह उन सभी पैकेटों से संबंधित होती है जो उस कनेक्शन को बना सकते हैं। NAT इसी तरह से सभी संबंधित पैकेटों का अनुवाद करने के लिए इस जानकारी पर निर्भर करता है, और <code>iptables</code> स्टेटफुल फ़ायरवॉल के रूप में कार्य करने के लिए इस जानकारी का उपयोग कर सकते हैं।
+  | url   = https://people.netfilter.org/pablo/docs/login.pdf}}</ref> संयोजन अनुसरण कर्नेल को सभी तार्किक जालक्रम संयोजनों या [[सत्र (कंप्यूटर विज्ञान)|सत्रों]] का पंक्ति रखने की अनुमति देती है और इस तरह उन सभी वेष्टकों से संबंधित होती है जो उस संयोजन को बना सकते हैं। एनएटी इसी तरह से सभी संबंधित वेष्टकों का अनुवाद करने के लिए इस सूचना पर निर्भर करता है और <code>आईपीतालिका</code> इस सूचना का उपयोग स्टेटफुल सुरक्षा भित्ति के रूप में कार्य करने के लिए कर सकता है।
-कनेक्शन स्थिति हालांकि किसी भी ऊपरी स्तर के राज्य से पूरी तरह से स्वतंत्र है, जैसे कि टीसीपी या एससीटीपी का राज्य। इसका एक कारण यह है कि जब केवल अग्रेषण पैकेट, यानी कोई स्थानीय वितरण नहीं होता है, तो टीसीपी इंजन को जरूरी नहीं लगाया जा सकता है। यहां तक कि उपयोगकर्ता डाटाग्राम प्रोटोकॉल, [[आईपीसेक]] (एएच/ईएसपी), [[जेनेरिक रूटिंग इनकैप्सुलेशन]] और अन्य [[टनलिंग प्रोटोकॉल]] जैसे कनेक्शन रहित-मोड प्रसारण में कम से कम एक छद्म कनेक्शन स्थिति है। ऐसे प्रोटोकॉल के लिए अनुमानी अक्सर निष्क्रियता के लिए एक पूर्व निर्धारित टाइमआउट मान पर आधारित होता है, जिसकी समाप्ति के बाद नेटफिल्टर कनेक्शन हटा दिया जाता है।
+संयोजन स्थिति हालांकि किसी भी ऊपरी स्तर के अवस्था से पूर्णतया से स्वतंत्र है, जैसे कि टीसीपी या एससीटीपी की अवस्था है। इसका एक कारण यह है कि जब केवल अग्रेषण वेष्टक, अर्थात, कोई स्थानीय वितरण नहीं होता है, तो टीसीपी यंत्र को जरूरी नहीं लगाया जा सकता है। यहां तक कि यूडीपी, आईपीसीईसी (एएच/ईएसपी), जीआरई और और अन्य [[टनलिंग प्रोटोकॉल|सुरंगन विज्ञप्ति]] जैसे संयोजन रहित-प्रणाली प्रसारण में कम-से-कम एक आभासी संयोजन स्थिति है। ऐसे विज्ञप्ति के लिए अनुमानी प्रायः निष्क्रियता के लिए एक पूर्व निर्धारित मध्यांतर मान पर आधारित होता है, जिसकी समाप्ति के पश्चात नेटफिल्टर संयोजन हटा दिया जाता है।
-प्रत्येक नेटफिल्टर कनेक्शन को विशिष्ट रूप से (लेयर-3 प्रोटोकॉल, सोर्स एड्रेस, डेस्टिनेशन एड्रेस, लेयर-4 प्रोटोकॉल, लेयर-4 की) टपल द्वारा पहचाना जाता है। परत-4 कुंजी परिवहन प्रोटोकॉल पर निर्भर करती है; टीसीपी/यूडीपी के लिए यह पोर्ट संख्या है, सुरंगों के लिए यह उनकी सुरंग आईडी हो सकती है, लेकिन अन्यथा केवल शून्य है, जैसे कि यह टपल का हिस्सा नहीं था। सभी मामलों में टीसीपी पोर्ट का निरीक्षण करने में सक्षम होने के लिए पैकेट को अनिवार्य रूप से डीफ़्रेग्मेंट किया जाएगा।
+प्रत्येक नेटफिल्टर संयोजन को विशिष्ट रूप से (स्तर-3 विज्ञप्ति, स्त्रोत पता, गंतव्य पता, स्तर-4 विज्ञप्ति, स्तर-4 की) टपल द्वारा पहचाना जाता है। स्तर-4 कुंजी परिवहन विज्ञप्ति पर निर्भर करती है; टीसीपी/यूडीपी के लिए यह पत्तन संख्या है, सुरंगों के लिए यह उनकी सुरंग आईडी हो सकती है, परन्तु अन्यथा केवल शून्य है, जैसे कि यह टपल का भाग नहीं था। सभी स्थितियों में टीसीपी पत्तन का निरीक्षण करने में सक्षम होने के लिए वेष्टकों को अनिवार्य रूप से डी-खंडित किया जाएगा।
-नेटफिल्टर कनेक्शन को यूजर-स्पेस टूल के साथ जोड़-तोड़ किया जा सकता है <code>conntrack</code>.
+नेटफिल्टर संयोजन को उपयोक्ता समष्टि साधन <code>कनेक्टट्रैक</code> के साथ युक्तियोजित किया जा सकता है।
-<code>iptables</code> पैकेट फ़िल्टरिंग नियमों को अधिक शक्तिशाली और प्रबंधित करने में आसान बनाने के लिए कनेक्शन की जानकारी जैसे राज्यों, स्थितियों और अधिक की जाँच का उपयोग कर सकते हैं। सबसे आम राज्य हैं:
+<code>आईपी तालिका</code> वेष्टक निस्यंदन नियमों को अधिक शक्तिशाली और प्रबंधित करने में आसान बनाने के लिए संयोजन की जानकारी जैसे अवस्थाओं, स्थितियों और अधिक की जाँच का उपयोग कर सकते हैं। सबसे आम अवस्था हैं:
-; <code>NEW</code>: एक नया कनेक्शन बनाने की कोशिश कर रहा है
+; <code>नया</code>: एक नया संयोजन बनाने का प्रयास कर रहा है।
-; <code>ESTABLISHED</code>: पहले से मौजूद कनेक्शन का हिस्सा
+; <code>स्थापित</code>: पूर्व से उपस्थित संयोजनो का भाग है।
-; <code>RELATED</code>: एक पैकेट को सौंपा गया है जो एक नया कनेक्शन शुरू कर रहा है और जिसकी अपेक्षा की गई है; उपरोक्त मिनी-एएलजी इन अपेक्षाओं को स्थापित करते हैं, उदाहरण के लिए, जब <code>nf_conntrack_ftp</code> मॉड्यूल एक [[फाइल ट्रांसफर प्रोटोकॉल]] देखता है<code>PASV</code>आज्ञा
+; <code>सम्बद्ध</code>: एक वेष्टक को सौंपा गया है जो एक नया संयोजन प्रारंभ कर रहा है और और जिसे "अपेक्षित" किया गया है; उपरोक्त छोटी-एएलजी इन अपेक्षाओं को स्थापित करते हैं, उदाहरण के लिए, जब  <code>एनएफ_कनेक्टट्रैक_एफ़टीपी</code> मापांक एक [[फाइल ट्रांसफर प्रोटोकॉल|एफ़टीपी]] <code>पीएएसवी</code> समादेश देखता है।
-; <code>INVALID</code>: पैकेट को [[अमान्य पैकेट]] पाया गया, उदा। यह [[टीसीपी कनेक्शन]] आरेख का पालन नहीं करेगा
+; <code>अमान्य</code>: वेष्टक को [[अमान्य पैकेट|अमान्य वेष्टक]] पाया गया, उदाहरण के लिए, यह [[टीसीपी कनेक्शन|टीसीपी स्थिति]] आरेख का पालन नहीं करेगा।
-; <code>UNTRACKED</code>: एक विशेष स्थिति जो किसी विशेष पैकेट के लिए कनेक्शन ट्रैकिंग को बायपास करने के लिए व्यवस्थापक द्वारा निर्दिष्ट की जा सकती है (ऊपर कच्ची तालिका देखें)।
+; <code>अननुसरित</code>: एक विशेष स्थिति जो किसी विशेष वेष्टक के लिए संयोजन अनुसरण को उपमार्गन करने के लिए व्यवस्थापक द्वारा निर्दिष्ट किया जा सकता है (ऊपर रॉ तालिका देखें)।
-एक सामान्य उदाहरण यह होगा कि कनट्रैक सबसिस्टम जो पहला पैकेट देखता है उसे नया वर्गीकृत किया जाएगा, उत्तर को वर्गीकृत किया जाएगा और एक [[ इंटरनेट नियंत्रण संदेश प्रोटोकॉल ]] त्रुटि संबंधित होगी। एक ICMP त्रुटि पैकेट जो किसी ज्ञात कनेक्शन से मेल नहीं खाता है, वह अमान्य होगा।
+एक सामान्य उदाहरण यह होगा कि कनट्रैक उप-प्रणाली जो पहला वेष्टक देखता है उसे "नए" में वर्गीकृत किया जाएगा, उत्तर को "स्थापित" वर्गीकृत किया जाएगा और एक [[ इंटरनेट नियंत्रण संदेश प्रोटोकॉल |आईसीएमपी]] त्रुटि "संबंधित" होगी। एक आईसीएमपी त्रुटि वेष्टक जो किसी ज्ञात संयोजन से मेल नहीं खाता है, वह "अमान्य" होगा।
-===कनेक्शन ट्रैकिंग सहायक===
+===संयोजन अनुसरण सहायक===
-प्लगइन मॉड्यूल के उपयोग के माध्यम से, कनेक्शन ट्रैकिंग को एप्लिकेशन-लेयर प्रोटोकॉल का ज्ञान दिया जा सकता है और इस प्रकार यह समझा जा सकता है कि दो या दो से अधिक अलग-अलग कनेक्शन संबंधित हैं। उदाहरण के लिए, [[फाइल ट्रांसफर प्रोटोकॉल]] प्रोटोकॉल पर विचार करें। एक नियंत्रण कनेक्शन स्थापित किया जाता है, लेकिन जब भी डेटा स्थानांतरित किया जाता है, इसे स्थानांतरित करने के लिए एक अलग कनेक्शन स्थापित किया जाता है। जब <code>nf_conntrack_ftp</code> मॉड्यूल लोड किया गया है, तो FTP डेटा कनेक्शन के पहले पैकेट को नए के बजाय संबंधित के रूप में वर्गीकृत किया जाएगा, क्योंकि यह तार्किक रूप से मौजूदा कनेक्शन का हिस्सा है।
+प्लगइन मापांक के उपयोग के माध्यम से, संयोजन अनुसरण को एप्लिकेशन-स्तर विज्ञप्ति का ज्ञान दिया जा सकता है और इस प्रकार यह समझा जा सकता है कि दो या दो से अधिक अलग-अलग संयोजन संबंधित हैं। उदाहरण के लिए, [[फाइल ट्रांसफर प्रोटोकॉल|एफ़टीपी]] विज्ञप्ति पर विचार करें। एक नियंत्रण संयोजन स्थापित किया जाता है, परन्तु जब भी डेटा स्थानांतरित किया जाता है, इसे स्थानांतरित करने के लिए एक अलग संयोजन स्थापित किया जाता है। जब <code>एनएफ_कनेक्टट्रैक_एफ़टीपी</code> मापांक लोड किया जाता है, तो एफ़टीपी डेटा संयोजन के पहले वेष्टक को "नए' के बजाय "संबंधित" के रूप में वर्गीकृत किया जाएगा, क्योंकि यह तार्किक रूप से उपस्थित संयोजन का भाग है।
-सहायक एक समय में केवल एक पैकेट का निरीक्षण करते हैं, इसलिए यदि कनेक्शन ट्रैकिंग के लिए महत्वपूर्ण जानकारी दो पैकेटों में विभाजित है, या तो आईपी विखंडन या टीसीपी विभाजन के कारण, सहायक आवश्यक रूप से पैटर्न को पहचान नहीं पाएगा और इसलिए अपना ऑपरेशन नहीं करेगा। IP विखंडन को डीफ़्रेग्मेंटेशन की आवश्यकता वाले कनेक्शन ट्रैकिंग सबसिस्टम से निपटा जाता है, हालाँकि TCP विभाजन को नियंत्रित नहीं किया जाता है। एफ़टीपी के मामले में, सेगमेंटेशन को कमांड जैसे कमांड के पास नहीं माना जाता है <code>PASV</code> मानक खंड आकार के साथ, इसलिए नेटफिल्टर में भी इसका निपटारा नहीं किया जाता है।
+सहायक एक समय में केवल एक वेष्टक का निरीक्षण करते हैं, इसलिए यदि संयोजन अनुसरण के लिए महत्वपूर्ण सूचना दो वेष्टकों में विभाजित है, या तो आईपी विखंडन या टीसीपी विभाजन के कारण, सहायक आवश्यक रूप से प्रतिरूप को पहचान नहीं पाएगा और इसलिए अपना संचालन नहीं करेगा। आईपी विखंडन को एकीकरण की आवश्यकता वाले संयोजन अनुसरण उप-प्रणाली से निपटा जाता है, हालाँकि टीसीपी विभाजन को नियंत्रित नहीं किया जाता है। एफ़टीपी की स्थिति में, विभाजन को मानक खंड आकार के साथ <code>पीएएसवी</code> जैसे समादेश के "निकट" नहीं होने के रूप में माना जाता है, इसलिए नेटफिल्टर में भी इसका निपटारा नहीं किया जाता है।
-== नेटवर्क एड्रेस ट्रांसलेशन ==
+== जालक्रम पता अनुवाद ==
-{{Main|Network address translation}}
+{{Main|जालक्रम पता अनुवाद}}
-प्रत्येक कनेक्शन में मूल पतों और उत्तर पतों का एक सेट होता है, जो शुरू में वही शुरू करते हैं। नेटफिल्टर में एनएटी केवल उत्तर पते को बदलकर और जहां वांछित हो, पोर्ट को बदलकर कार्यान्वित किया जाता है। जब पैकेट प्राप्त होते हैं, तो उनके कनेक्शन टपल की तुलना रिप्लाई एड्रेस पेयर (और पोर्ट्स) से भी की जाएगी। NAT के लिए खंड-मुक्त होना भी एक आवश्यकता है। (यदि आवश्यकता हो, IPv4 पैकेट को सामान्य, गैर-नेटफिल्टर, IPv4 स्टैक द्वारा रीफ्रैगमेंट किया जा सकता है।)
+प्रत्येक संयोजन में मूल पतों और उत्तर पतों का एक समूह होता है, जो प्रारंभ में वही आरंभ करते हैं। नेटफिल्टर में एनएटी केवल उत्तर पते को परिवर्तित कर और जहां वांछित हो, पत्तन को परिवर्तित कर कार्यान्वित किया जाता है। जब वेष्टक प्राप्त होते हैं, तो उनके संयोजन टपल की तुलना उत्तर पता युग्म (और पत्तन) से भी की जाएगी। एनएटी के लिए खंड-मुक्त होना भी एक आवश्यकता है। (यदि आवश्यकता हो, आइपीवी4 वेष्टक को सामान्य, गैर-नेटफिल्टर, आइपीवी4 चित्ति द्वारा पुनः खंडित किया जा सकता है)।
-=== एनएटी हेल्पर्स ===
+=== एनएटी सहायक ===
-कनेक्शन ट्रैकिंग हेल्पर्स के समान, NAT हेल्पर्स एक पैकेट निरीक्षण करेंगे और मूल पतों को पेलोड में उत्तर पतों द्वारा प्रतिस्थापित करेंगे।
+संयोजन अनुसरण सहायक के समान, एनएटी सहायक एक वेष्टक निरीक्षण करेंगे और मूल पतों को आयभार में उत्तर पतों द्वारा प्रतिस्थापित करेंगे।
-== आगे नेटफिल्टर प्रोजेक्ट ==
+== अग्रिम नेटफिल्टर परियोजनाएं ==
-हालांकि कर्नेल मॉड्यूल नहीं है जो सीधे नेटफिल्टर कोड का उपयोग करता है, नेटफिल्टर प्रोजेक्ट कुछ और उल्लेखनीय सॉफ्टवेयर को होस्ट करता है।
+हालांकि कर्नेल मापांक नहीं है जो सीधे नेटफिल्टर सांकेतिक अंक का उपयोग करते है, नेटफिल्टर परियोजना कुछ और उल्लेखनीय सॉफ्टवेयर का आयोजन करते है।
-=== कनेक्ट-टूल्स ===
+=== कनेक्टट्रैक-साधन ===
-<code>conntrack-tools</code> लिनक्स के लिए यूजर-स्पेस टूल्स का एक सेट है जो सिस्टम एडमिनिस्ट्रेटर को कनेक्शन ट्रैकिंग प्रविष्टियों और तालिकाओं के साथ इंटरैक्ट करने की अनुमति देता है। पैकेज में शामिल है <code>conntrackd</code> डेमन और कमांड लाइन इंटरफ़ेस <code>conntrack</code>. यूजरस्पेस डेमन <code>conntrackd</code> उच्च उपलब्धता क्लस्टर-आधारित स्टेटफुल फ़ायरवॉल को सक्षम करने और स्टेटफुल फ़ायरवॉल के उपयोग के आँकड़े एकत्र करने के लिए उपयोग किया जा सकता है। कमांड लाइन इंटरफ़ेस <code>conntrack</code> अप्रचलित की तुलना में कनेक्शन ट्रैकिंग सिस्टम को अधिक लचीला इंटरफ़ेस प्रदान करता है <code>/proc/net/nf_conntrack</code>.
+<code>कनेक्टट्रैक-साधन</code> लिनक्स के लिए उपयोक्ता समष्टि साधन का एक समूह है जो प्रणाली प्रशासकों को संयोजन अनुसरण प्रविष्टियों और तालिकाओं के साथ अन्तःक्रिया करने की अनुमति प्रदान करता है। संवेष्टक में  <code>कनेक्टट्रैकड</code> डेमॉन और समादेश पंक्ति अंतरापृष्ठ <code>कनेक्टट्रैक</code> सम्मिलित है। उपयोक्‍ता समष्टि डेमॉन <code>कनेक्टट्रैकड</code> का उपयोग उच्च उपलब्धता समूह-आधारित स्टेटफुल सुरक्षा भित्ति को सक्षम करने और स्टेटफुल सुरक्षा भित्ति के उपयोग के आँकड़े एकत्र करने के लिए उपयोग किया जा सकता है। समादेश पंक्ति अंतरापृष्ठ <code>कनेक्टट्रैक</code> अप्रचलित <code>/ प्रोक/नेट/ एनएफ_कनेक्टट्रैक</code> की तुलना में संयोजन अनुसरण प्रणाली को अधिक नम्य अंतरापृष्ठ प्रदान करता है।
-=== आईपीसेट ===
+=== आईपीसमूह ===
-कनेक्शन ट्रैकिंग जैसे अन्य एक्सटेंशन के विपरीत, <code>ipset</code><ref>{{cite web
+संयोजन अनुसरण जैसे अन्य विस्तारण के विपरीत, <code>आईपीसमूह</code> <ref>{{cite web
   | url        = http://ipset.netfilter.org/
   | title      = IP sets
   | publisher  = ipset.netfilter.org
-  | access-date = 2014-07-04}}</ref> से अधिक संबंधित है <code>iptables</code> कोर नेटफिल्टर कोड की तुलना में। <code>ipset</code> उदाहरण के लिए नेटफिल्टर हुक का उपयोग नहीं करता है, लेकिन वास्तव में एक प्रदान करता है <code>iptables</code> आईपी सेट में मिलान करने और न्यूनतम संशोधन (सेट/स्पष्ट) करने के लिए मॉड्यूल।
+  | access-date = 2014-07-04}}</ref> कोर नेटफिल्टर सांकेतिक अंक की तुलना में <code>आईपीतालिका</code> से अधिक संबंधित है। उदाहरण के लिए, <code>आईपीसमूह</code> नेटफिल्टर अंकुश का उपयोग नहीं करता है, परन्तु वास्तव में आईपी समूहों से मिलान करने और न्यूनतम संशोधन (समूह/स्पष्ट) करने के लिए एक <code>आईपीतालिका</code> मापांक प्रदान करता है।
-यूजर-स्पेस टूल कहा जाता है <code>ipset</code> लिनक्स कर्नेल में तथाकथित आईपी सेट को स्थापित करने, बनाए रखने और निरीक्षण करने के लिए उपयोग किया जाता है। एक आईपी सेट में आमतौर पर आईपी पतों का एक सेट होता है, लेकिन इसके प्रकार के आधार पर अन्य नेटवर्क नंबरों के सेट भी हो सकते हैं। ये सेट नंगे की तुलना में बहुत अधिक लुकअप-कुशल हैं <code>iptables</code> नियम, लेकिन निश्चित रूप से अधिक स्मृति पदचिह्न के साथ आ सकते हैं। विभिन्न भंडारण एल्गोरिदम (मेमोरी में डेटा संरचनाओं के लिए) प्रदान किए जाते हैं <code>ipset</code> उपयोगकर्ता के लिए एक इष्टतम समाधान का चयन करने के लिए।
+<code>आईपीसमूह</code> नामक उपयोक्ता समष्टि साधन का उपयोग लिनक्स कर्नेल में तथाकथित "आईपी समूह" को स्थापित करने, बनाए रखने और निरीक्षण करने के लिए किया जाता है। एक आईपी समूह में सामान्यतः आईपी पतों का एक समूह होता है, परन्तु इसके "प्रकार" के आधार पर अन्य जालक्रम संख्याओं के समूह भी हो सकते हैं। ये समूह अरक्षित <code>आईपीतालिका</code> नियमों की तुलना में बहुत अधिक कुशल हैं, परन्तु निश्चित रूप से अधिक स्मृति पदचिह्न के साथ आ सकते हैं। उपयोगकर्ता के लिए इष्टतम समाधान चुनने के लिए विभिन्न भंडारण कलन विधि (मेमोरी में डेटा संरचनाओं के लिए) <code>आईपीसमूह</code> में प्रदान किए जाते हैं।
-एक सेट में कोई भी प्रविष्टि दूसरे सेट से बंधी हो सकती है, जिससे परिष्कृत मिलान संचालन की अनुमति मिलती है। एक सेट को केवल तभी हटाया (नष्ट) किया जा सकता है जब कोई सेट न हो <code>iptables</code> नियम या अन्य सेट इसका जिक्र करते हैं।
+एक समूह में कोई भी प्रविष्टि दूसरे समूह से बंधी हो सकती है, जिससे परिष्कृत मिलान संचालन की अनुमति मिलती है। एक समूह को केवल तभी हटाया (नष्ट) किया जा सकता है जब कोई <code>आईपीतालिका</code> नियम या अन्य समूह इसका संदर्भ नहीं दे रहे हों।
-=== प्रॉक्सी के साथ ===
+=== <code>एसवाईएन प्रॉक्सी</code> ===
-<code>SYNPROXY</code> लक्ष्य ऐसे मामलों में कनेक्शन ट्रैकिंग द्वारा लगाए गए बड़े प्रदर्शन दंड के बिना बड़ी [[एसवाईएन बाढ़]] को संभव बनाता है। प्रारंभिक रीडायरेक्ट करके <code>SYN</code> के लिए अनुरोध <code>SYNPROXY</code> लक्ष्य, कनेक्शन ट्रैकिंग के भीतर कनेक्शन तब तक पंजीकृत नहीं होते जब तक कि वे एक मान्य फाइनल तक नहीं पहुंच जाते <code>ACK</code> राज्य, संभावित रूप से अमान्य कनेक्शनों की बड़ी संख्या को ध्यान में रखते हुए कनेक्शन ट्रैकिंग को मुक्त करना। इस तरह, विशाल <code>SYN</code> बाढ़ से प्रभावी तरीके से निपटा जा सकता है।<ref>{{cite web
+<code>सिंप्रोक्सी</code> लक्ष्य ऐसी स्थितियों में संयोजन अनुसरण द्वारा लगाए गए बड़े प्रदर्शन दंड के बिना बड़े [[एसवाईएन बाढ़|एसवाईएन बहुतायत]] से निपटना संभव बनाता है। <code>सिंप्रोक्सी</code> लक्ष्य के लिए प्रारंभिक <code>एसवाईएन</code> अनुरोधों को पुनर्निर्देशित करके, संयोजन अनुसरण के भीतर संयोजन तब तक पंजीकृत नहीं होते जब तक कि वे एक मान्य अंतिम <code>एसीके</code> स्थिति तक नहीं पहुंच जाते हैं, संभावित रूप से अमान्य संयोजनों की बड़ी संख्याओं को ध्यान में रखते हुए संयोजन अनुसरणों को मुक्त कर देते हैं। इस तरह, विशाल <code>एसवाईएन</code> बहुतायत को प्रभावी तरीके से नियंत्रित किया जा सकता है।।<ref>{{cite web
   | url        = https://lwn.net/Articles/563151/
   | title      = netfilter: implement netfilter SYN proxy
@@ Line 159: / Line 165: @@
   | author     = Patrick McHardy
   | publisher  = [[LWN.net]]}}</ref>
-नवंबर 2013 को, <code>SYN</code> लिनक्स कर्नेल मेनलाइन के संस्करण 3.12 के रिलीज के साथ, प्रॉक्सी कार्यक्षमता को नेटफिल्टर में विलय कर दिया गया था।<ref>{{cite web
+नवंबर 2013 को, लिनक्स कर्नेल प्रमुख पंक्ति के संस्करण 3.12 के विमोचन के साथ, <code>एसवाईएन</code> प्रॉक्सी कार्यक्षमता को नेटफिल्टर में विलय कर दिया गया था।<ref>{{cite web
   | url        = https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=48b1de4c110a7afa4b85862f6c75af817db26fad
   | title      = netfilter: add SYNPROXY core/target
@@ Line 172: / Line 179: @@
-=== उलोगड ===
-<code>ulogd</code> नेटफिल्टर सबसिस्टम से पैकेट और इवेंट नोटिफिकेशन प्राप्त करने और लॉग करने के लिए एक यूजर-स्पेस डेमन है। <code>ip_tables</code> यूजरस्पेस क्यूइंग मैकेनिज्म के माध्यम से पैकेट वितरित कर सकते हैं, और कनेक्शन ट्रैकिंग के साथ बातचीत कर सकते हैं <code>ulogd</code> पैकेट या घटनाओं के बारे में और जानकारी का आदान-प्रदान करने के लिए (जैसे कनेक्शन फाड़ना, एनएटी सेटअप)।
-===यूजरस्पेस लाइब्रेरी ===
+=== यूलॉगड ===
-नेटफिल्टर पुस्तकालयों का एक सेट भी प्रदान करता है <code>libnetfilter</code> उनके नामों के उपसर्ग के रूप में, जिनका उपयोग उपयोक्ता स्थान से विभिन्न कार्यों को करने के लिए किया जा सकता है। ये पुस्तकालय GNU GPL संस्करण 2 के तहत जारी किए गए हैं। विशेष रूप से, वे निम्नलिखित हैं:
+<code>यूलॉगड</code> नेटफिल्टर उप-प्रणाली से वेष्टक और घटना सूचना प्राप्त करने और लॉग करने के लिए एक उपयोक्ता समष्टि डेमॉन है। <code>आईपी_तालिका</code> वेष्टकों को उपयोक्‍ता समष्टि पंक्तियन क्रियाविधि के माध्यम से वितरित कर सकता हैं और संयोजन अनुसरण वेष्टकों या घटनाओं (जैसे संयोजन टियरडाउन, एनएटी व्यवस्थापन) के विषय में और सूचनाओं का आदान-प्रदान करने के लिए <code>यूलॉगड</code> के साथ अंत:क्रिया कर सकता है।
-; <code>libnetfilter_queue</code>
-: iptables के साथ संयोजन के रूप में उपयोक्ता स्थान पैकेट पंक्तिबद्ध करने की अनुमति देता है; पर आधारित <code>libnfnetlink</code>
+===उपयोक्‍ता समष्टि पुस्तकालय ===
-; <code>libnetfilter_conntrack</code>
+नेटफिल्टर पुस्तकालयों का एक समूह भी प्रदान करता है जिसमें उनके नाम के उपसर्ग के रूप में <code>लिबनेटनिस्यंदन</code> होता है, जिनका उपयोग उपयोक्ता समष्टि से विभिन्न कार्यों को करने के लिए किया जा सकता है। ये पुस्तकालय जीएनयू जीपीएल संस्करण 2 के अंतर्गत जारी किए गए हैं। विशेष रूप से, वे निम्नलिखित हैं:
-: यूजरस्पेस से कनेक्शन ट्रैकिंग प्रविष्टियों में हेरफेर की अनुमति देता है; पर आधारित <code>libnfnetlink</code>
+; <code>लिबनेटनिस्यंदन_पंक्ति</code>
-; <code>libnetfilter_log</code>
+: आईपी तालिका के साथ संयोजन के रूप में उपयोक्ता स्थान वेष्टक पंक्तिबद्ध करने की अनुमति प्रदान करता है; जो <code>लिबएनएफनेटलिंक</code> पर आधारित है।
-: iptables द्वारा उत्पन्न लॉग संदेशों के संग्रह की अनुमति देता है; पर आधारित <code>libnfnetlink</code>
+; <code>लिबनेटनिस्यंदन_कनेक्टट्रैक</code>
-; <code>libnl-3-netfilter</code>
+: उपयोक्‍ता समष्टि से संयोजन अनुसरण प्रविष्टियों में प्रकलन की अनुमति प्रदान करता है; जो <code>लिबएनएफनेटलिंक</code> पर आधारित है।
-: कतारों, कनेक्शन ट्रैकिंग और लॉग पर संचालन की अनुमति देता है; का हिस्सा <code>libnl</code> परियोजना<ref>{{cite web
+; <code>लिबनेटनिस्यंदन_लॉग</code>
+: आईपी तालिका द्वारा उत्पन्न लॉग संदेशों के संग्रह की अनुमति प्रदान करता है; जो <code>लिबएनएफनेटलिंक</code> पर आधारित है।
+; <code>लिबएनएल-3-नेटनिस्यंदन</code>
+: पंक्तियों, संयोजन अनुसरण और लॉग पर संचालन की अनुमति प्रदान करता है; जो <code>लिबएनएल</code> परियोजना का भाग है।<ref>{{cite web
   | url        = https://www.infradead.org/~tgr/libnl/doc/api/group__nfnl.html
   | title      = Netfilter Library (libnl-nf)
@@ Line 190: / Line 198: @@
   | access-date = 2013-12-28
   | publisher  = infradead.org}}</ref>
-; <code>libiptc</code>
+; <code>लिबआईपीटीसी</code>
-: iptables फ़ायरवॉल नियमसेट में परिवर्तन करने की अनुमति देता है; यह किसी पर आधारित नहीं है <code>[[netlink]]</code> पुस्तकालय, और इसका [[एपीआई]] आंतरिक रूप से उपयोग किया जाता है <code>iptables</code> उपयोगिताओं
+: आईपी तालिका सुरक्षा भित्ति नियम समूह में परिवर्तन करने की अनुमति प्रदान करती है; यह किसी <code>[[netlink|नेटलिंक]]</code> पुस्तकालय पर आधारित नहीं है और इसका [[एपीआई]] आंतरिक रूप से <code>आईपीतालिका</code> को उपयोगिताओं द्वारा उपयोग किया जाता है।
-; <code>libipset</code>
+; <code>लिबआईपीसमूह</code>
-: आईपी सेट पर संचालन की अनुमति देता है; पर आधारित <code>libmnl</code>.
+: आईपी समूह पर संचालन की अनुमति प्रदान करता है; <code>लिबएमएनएल</code> पर आधारित है।
-== नेटफिल्टर वर्कशॉप ==
+== नेटफिल्टर कार्यशाला ==
-नेटफिल्टर प्रोजेक्ट डेवलपर्स के लिए एक वार्षिक बैठक आयोजित करता है, जिसका उपयोग चल रहे अनुसंधान और विकास प्रयासों पर चर्चा करने के लिए किया जाता है। 2018 नेटफिल्टर कार्यशाला जून 2018 में बर्लिन, जर्मनी में हुई।<ref>{{cite web
+नेटफिल्टर परियोजना विकासक के लिए एक वार्षिक बैठक आयोजित करता है, जिसका उपयोग चल रहे अनुसंधान और विकास प्रयासों पर चर्चा करने के लिए किया जाता है। 2018, नेटफिल्टर कार्यशाला जून 2018 में बर्लिन, जर्मनी में हुई।<ref>{{cite web
   | url          = https://workshop.netfilter.org/2018/|title=14th Netfilter Workshop
   | date         = 2018-09-26
@@ Line 206: / Line 214: @@
 {{Portal|Free and open-source software|Linux}}
 {{Div col|colwidth=25em}}
-* [[बर्कले पैकेट फ़िल्टर]]
+* [[बर्कले वेष्टक निस्यंदन]]
-* ओपन सोर्स लाइसेंस मुकदमेबाजी #Geniatech v. McHardy_(2018)|Geniatech v. McHardy (2018) मुकदमा
+* जेनीटेक बनाम मैकहार्डी (2018) अभियोग
-* [[आईपी वर्चुअल सर्वर]] (आईपीवीएस, एलवीएस का हिस्सा)
+* [[आईपी वास्तविक परिवेषक]] (आईपीवीएस, एलवीएस का भाग)
-* ipchains, [[iptables]] का पूर्ववर्ती
+* आईपी श्रृंखला, आईपी तालिका के पूर्ववर्ती
-* आईपीफ़ायरवॉल
+* आईपी एफडब्ल्यू
-* [[लिनक्स वर्चुअल सर्वर]] (LVS)
+* [[लिनक्स वास्तविक परिवेषक]] (एलवीएस)
-* [[नेटलिंक]], नेटफिल्टर एक्सटेंशन द्वारा उपयोग किया जाने वाला एपीआई
+* [[नेटलिंक]], नेटफिल्टर विस्तारण द्वारा उपयोग किया जाने वाला एपीआई
-* [[ नेटवर्क अनुसूचक ]], नेटवर्क स्टैक का एक अन्य निम्न-स्तरीय घटक
+* [[जालक्रम अनुसूचक]], जालक्रम चित्ति का एक अन्य निम्न-स्तरीय घटक
-* एन[[पीएफ (फ़ायरवॉल)]]
+* एन[[पीएफ (सुरक्षा भित्ति)]]
-* पीएफ (फ़ायरवॉल)
+* पीएफ (सुरक्षा भित्ति)
-* सीधी फ़ायरवॉल
+* सरल सुरक्षा भित्ति
 {{div col end}}
@@ Line 226: / Line 234: @@
 * {{Official website|https://netfilter.org/}}
 * [https://netfilter.org/projects/conntrack-tools/ conntrack-tools homepage]
-* [http://ipset.netfilter.org/ ipset homepage]
+* [http://ipset.netfilter.org/ आईपी समूह homepage]
-* [https://netfilter.org/projects/ulogd/ ulogd homepage]
+* [https://netfilter.org/projects/ulogd/ यूलॉगड homepage]
-* [https://workshop.netfilter.org/ Home of the Netfilter Workshop websites]
+* [https://workshop.netfilter.org/ Home of the Netनिस्यंदन Workshop w ईबीsites]
-* "[https://inai.de/documents/Netfilter_Modules.pdf Writing Netfilter Modules]" (e-book; 2009)
+* "[https://inai.de/documents/Netfilter_Modules.pdf Writing Netनिस्यंदन Modules]" (e-book; 2009)
-* "[https://www.zdnet.com/news/netfilter-and-iptables-stateful-firewalling-for-linux/296775 Netfilter and Iptables &mdash; Stateful Firewalling for Linux]" (11 October 2001)
+* "[https://www.zdnet.com/news/netfilter-and-iptables-stateful-firewalling-for-linux/296775 Netनिस्यंदन and आईपी तालिका &mdash; Stateful Firewalling for लिनक्स]" (11 October 2001)
 * [https://web.archive.org/web/20121019131903/http://www.linuxfoundation.org/collaborate/workgroups/networking/networkoverview Network overview by Rami Rosen]
 {{Firewall software}}
 {{Linux kernel}}
-[[Category: फ़ायरवॉल सॉफ्टवेयर]] [[Category: मुफ्त नेटवर्क से संबंधित सॉफ्टवेयर]] [[Category: मुफ्त सुरक्षा सॉफ्टवेयर]] [[Category: लिनक्स कर्नेल सुविधाएँ]]
-[[Category: Machine Translated Page]]
+[[Category:Articles with hatnote templates targeting a nonexistent page]]
+[[Category:Collapse templates]]
 [[Category:Created On 11/05/2023]]
+[[Category:Lua-based templates]]
+[[Category:Machine Translated Page]]
+[[Category:Multi-column templates]]
+[[Category:Navigational boxes| ]]
+[[Category:Navigational boxes without horizontal lists]]
+[[Category:Official website not in Wikidata]]
+[[Category:Pages using div col with small parameter]]
+[[Category:Pages with empty portal template]]
+[[Category:Pages with script errors]]
+[[Category:Portal-inline template with redlinked portals]]
+[[Category:Portal templates with redlinked portals]]
+[[Category:Sidebars with styles needing conversion]]
+[[Category:Template documentation pages|Documentation/doc]]
+[[Category:Templates Vigyan Ready]]
+[[Category:Templates generating microformats]]
+[[Category:Templates that add a tracking category]]
+[[Category:Templates that are not mobile friendly]]
+[[Category:Templates that generate short descriptions]]
+[[Category:Templates using TemplateData]]
+[[Category:Templates using under-protected Lua modules]]
+[[Category:Wikipedia fully protected templates|Div col]]
+[[Category:Wikipedia metatemplates]]
+[[Category:फ़ायरवॉल सॉफ्टवेयर]]
+[[Category:मुफ्त नेटवर्क से संबंधित सॉफ्टवेयर]]
+[[Category:मुफ्त सुरक्षा सॉफ्टवेयर]]
+[[Category:लिनक्स कर्नेल सुविधाएँ]]


Stable release	Script error: The module returned a nil value. It is supposed to return an export table. / Script error: The module returned a nil value. It is supposed to return an export table.; Error: first parameter cannot be parsed as a date or time.

Written in	सी
Operating system	लिनक्स
Type	लिनक्स कर्नेल मापांक वेष्टक निस्यंदन/सुरक्षा भित्ति
License	जीएनयू जीपीएल
Website	नेटफिल्टर.ओआरजी

Anonymous

Search

नेटफिल्टर: Difference between revisions

Latest revision as of 17:50, 26 May 2023

इतिहास

उपयोक्‍ता समष्टि उपयोगिता क्रमादेश

आईपी तालिका

एनएफ तालिका

वेष्टक ​​​​एकीकरण

संयोजन अनुसरण

संयोजन अनुसरण सहायक

जालक्रम पता अनुवाद

एनएटी सहायक

अग्रिम नेटफिल्टर परियोजनाएं

कनेक्टट्रैक-साधन

आईपीसमूह

एसवाईएन प्रॉक्सी

यूलॉगड

उपयोक्‍ता समष्टि पुस्तकालय

नेटफिल्टर कार्यशाला

यह भी देखें

संदर्भ

बाहरी संबंध

Navigation

Wiki tools

Page tools

Other projects

Categories

वेष्टक एकीकरण

`एसवाईएन प्रॉक्सी`