नेटफिल्टर: Difference between revisions

From Vigyanwiki
(Created page with "{{short description|Packet alteration framework for Linux and the umbrella project for software of the same}} {{Infobox software | name = Linux <!-- This is t...")
 
No edit summary
Line 20: Line 20:
}}
}}


नेटफिल्टर [[लिनक्स कर्नेल]] द्वारा प्रदान किया गया एक [[सॉफ्टवेयर ढांचा]] है जो विभिन्न [[ संगणक संजाल ]] से संबंधित संचालन को अनुकूलित हैंडलर के रूप में कार्यान्वित करने की अनुमति देता है। नेटफिल्टर [[पैकेट फिल्टर]], [[नेटवर्क एड्रेस ट्रांसलेशन]] और [[ पोर्ट अनुवाद ]] के लिए विभिन्न कार्य और संचालन प्रदान करता है, जो एक नेटवर्क और [[फ़ायरवॉल (कंप्यूटिंग)]] पैकेट के माध्यम से पैकेट को एक नेटवर्क के भीतर संवेदनशील स्थानों तक पहुँचने के लिए आवश्यक कार्यक्षमता प्रदान करता है।
नेटफिल्टर [[लिनक्स कर्नेल]] द्वारा प्रदान किया गया एक [[सॉफ्टवेयर ढांचा|प्राधार]] है जो विभिन्न [[ संगणक संजाल ]] से संबंधित संचालन को अनुकूलित प्रबंधकर्ता के रूप में कार्यान्वित करने की अनुमति प्रदान करता है। नेटफिल्टर [[पैकेट फिल्टर|वेष्टक निस्यंदन]], [[नेटवर्क एड्रेस ट्रांसलेशन|जालक्रम पता अनुवाद]] और [[ पोर्ट अनुवाद | पत्तन अनुवाद]] के लिए विभिन्न कार्य और संचालन प्रदान करता है, जो एक जालक्रम और [[फ़ायरवॉल (कंप्यूटिंग)|अभिनिषेध]] वेष्टक के माध्यम से वेष्टक को एक जालक्रम के भीतर संवेदनशील स्थानों तक पहुँचने के लिए आवश्यक कार्यक्षमता प्रदान करता है।


नेटफिल्टर लिनक्स कर्नेल के अंदर [[हुकिंग]] के एक सेट का प्रतिनिधित्व करता है, विशिष्ट [[कर्नेल मॉड्यूल]] को कर्नेल के नेटवर्किंग स्टैक के साथ [[कॉलबैक (कंप्यूटर प्रोग्रामिंग)]] कार्यों को पंजीकृत करने की अनुमति देता है। उन कार्यों, जो आमतौर पर फ़िल्टरिंग और संशोधन नियमों के रूप में ट्रैफ़िक पर लागू होते हैं, को हर उस पैकेट के लिए कहा जाता है जो नेटवर्किंग स्टैक के भीतर संबंधित हुक को पार करता है।<ref>{{cite web
नेटफिल्टर लिनक्स कर्नेल के भीतर [[हुकिंग|अंकुश]] के एक समूह का प्रतिनिधित्व करता है, विशिष्ट [[कर्नेल मॉड्यूल|कर्नेल मापांक]] को कर्नेल के जालक्रम चित्ति के साथ [[कॉलबैक (कंप्यूटर प्रोग्रामिंग)|कॉलबैक (अभिकलित्र प्रोग्रामिंग)]] कार्यों को पंजीकृत करने की अनुमति प्रदान करता है। उन कार्यों, जो सामान्यतः निस्यंदन और संशोधन नियमों के रूप में परियात पर अनुप्रयुक्त होते हैं, को प्रत्येक उस वेष्टक के लिए कहा जाता है जो जालक्रम चित्ति के भीतर संबंधित अंकुश को पार करता है।<ref>{{cite web
  | url        = https://www.netfilter.org/
  | url        = https://www.netfilter.org/
  | title      = netfilter/iptables project homepage - The netfilter.org project
  | title      = netfilter/iptables project homepage - The netfilter.org project
Line 30: Line 30:


== इतिहास ==
== इतिहास ==
[[Image:Netfilter-components.svg|300px|thumb|(कुछ) विभिन्न नेटफिल्टर घटकों का संबंध]][[रस्टी रसेल]] ने 1998 में नेटफिल्टर/आईपीटेबल्स प्रोजेक्ट शुरू किया; उन्होंने परियोजना के पूर्ववर्ती, [[ipchains]] को भी लिखा था। जैसे-जैसे परियोजना बढ़ी, उन्होंने 1999 में नेटफिल्टर कोर टीम (या बस कोरटेम) की स्थापना की। उनके द्वारा उत्पादित सॉफ्टवेयर (इसके बाद नेटफिल्टर कहा जाता है) GNU जनरल पब्लिक लाइसेंस (GPL) लाइसेंस का उपयोग करता है, और मार्च 2000 में इसे संस्करण 2.4 में मिला दिया गया। [[लिनक्स कर्नेल मेनलाइन]] का x।
[[Image:Netfilter-components.svg|300px|thumb|(कुछ) विभिन्न नेटफिल्टर घटकों का संबंध]][[रस्टी रसेल]] ने 1998 में नेटफिल्टर/आईपीतालिका्स परियोजना प्रारंभ किया; उन्होंने परियोजना के पूर्ववर्ती, [[ipchains|आईपी ​​​​श्रृंखला]] को भी लिखा था। जैसे-जैसे परियोजना बढ़ी, उन्होंने 1999 में नेटफिल्टर कोर टीम (या बस कोरटेम) की स्थापना की। उनके द्वारा उत्पादित सॉफ्टवेयर (इसके बाद नेटफिल्टर कहा जाता है) GNU जनरल पब्लिक लाइसेंस (GPL) लाइसेंस का उपयोग करता है, और मार्च 2000 में इसे संस्करण 2.4 में मिला दिया गया। [[लिनक्स कर्नेल मेनलाइन]] का x।


अगस्त 2003 में [[हेरोल्ड वेल्टे]] कोरटीम के अध्यक्ष बने। अप्रैल 2004 में, जीपीएल का पालन किए बिना [[राउटर (कंप्यूटिंग)]] में प्रोजेक्ट के सॉफ़्टवेयर [[ अंतः स्थापित प्रणाली ]] को वितरित करने वालों पर परियोजना द्वारा कार्रवाई के बाद, [[जर्मनी]] की एक अदालत ने वेल्टे को [[साइटकॉम]] जर्मनी के खिलाफ एक ऐतिहासिक [[निषेधाज्ञा]] दी, जिसने जीपीएल के नियमों का पालन करने से इनकार कर दिया। शर्तें ([[जीएनयू जनरल पब्लिक लाइसेंस]]#कानूनी स्थिति|जीपीएल से संबंधित विवाद देखें)। सितंबर 2007 में पैट्रिक मैकहार्डी, जिन्होंने पिछले वर्षों में विकास का नेतृत्व किया, को कोरटीम के नए अध्यक्ष के रूप में चुना गया।
अगस्त 2003 में [[हेरोल्ड वेल्टे]] कोरटीम के अध्यक्ष बने। अप्रैल 2004 में, जीपीएल का पालन किए बिना [[राउटर (कंप्यूटिंग)]] में परियोजना के सॉफ़्टवेयर [[ अंतः स्थापित प्रणाली ]] को वितरित करने वालों पर परियोजना द्वारा कार्रवाई के बाद, [[जर्मनी]] की एक अदालत ने वेल्टे को [[साइटकॉम]] जर्मनी के विरुद्ध एक ऐतिहासिक [[निषेधाज्ञा]] दी, जिसने जीपीएल के नियमों का पालन करने से इनकार कर दिया। शर्तें ([[जीएनयू जनरल पब्लिक लाइसेंस]]#कानूनी स्थिति|जीपीएल से संबंधित विवाद देखें)। सितंबर 2007 में पैट्रिक मैकहार्डी, जिन्होंने पिछले वर्षों में विकास का नेतृत्व किया, को कोरटीम के नए अध्यक्ष के रूप में चुना गया।


Iptables से पहले, Linux फ़ायरवॉल बनाने के लिए प्रमुख सॉफ़्टवेयर पैकेज Linux कर्नेल 2.2.x में ipchains और Linux कर्नेल 2.0.x में [[ipfwadm]] थे, जो बदले में बर्कले सॉफ़्टवेयर वितरण के [[ipfirewall]] पर आधारित था। दोनों ipchains और ipfwadm नेटवर्किंग कोड को बदलते हैं ताकि वे पैकेटों में हेरफेर कर सकें, क्योंकि लिनक्स कर्नेल में नेटफिल्टर की शुरूआत तक एक सामान्य पैकेट नियंत्रण ढांचे की कमी थी।
आईपी तालिका से पहले, लिनक्स सुरक्षा भित्ति बनाने के लिए प्रमुख सॉफ़्टवेयर संवेष्टक लिनक्स कर्नेल 2.2.x में आईपी ​​​​श्रृंखला और लिनक्स कर्नेल 2.0.x में [[ipfwadm|आईपीएफडब्ल्यूएडीएम]] थे, जो बदले में बर्कले सॉफ़्टवेयर वितरण के [[ipfwadm|आईपी]][[ipfirewall|firewall]] पर आधारित था। दोनों आईपी ​​​​श्रृंखला और आईपीएफडब्ल्यूएडीएम जालक्रम कोड को परिवर्तित करते हैं ताकि वे वेष्टकों में प्रकलन कर सकें, क्योंकि लिनक्स कर्नेल में नेटफिल्टर की प्रारंभ तक एक सामान्य वेष्टक नियंत्रण ढांचे की कमी थी।


जबकि ipchains और ipfwadm पैकेट फ़िल्टरिंग और NAT (विशेष रूप से तीन विशिष्ट प्रकार के नेटवर्क एड्रेस ट्रांसलेशन, जिसे मास्केरडिंग, पोर्ट फ़ॉरवर्डिंग और रीडायरेक्शन कहा जाता है) को जोड़ती है, नेटफ़िल्टर नीचे वर्णित कई भागों में पैकेट संचालन को अलग करता है। प्रत्येक पैकेट तक पहुँचने के लिए अलग-अलग बिंदुओं पर नेटफिल्टर हुक से जुड़ता है। कनेक्शन ट्रैकिंग और NAT सबसिस्टम ipchains और ipfwadm के भीतर अल्पविकसित संस्करणों की तुलना में अधिक सामान्य और अधिक शक्तिशाली हैं।
जबकि आईपी ​​​​श्रृंखला और आईपीएफडब्ल्यूएडीएम वेष्टक निस्यंदन और एनएटी (विशेष रूप से तीन विशिष्ट प्रकार के एनएटी, जिसे स्वांग, पत्तन अग्रेषण और अनुप्रेषण कहा जाता है) को जोड़ती है, नेटफ़िल्टर नीचे वर्णित कई भागों में वेष्टक संचालन को अलग करता है। प्रत्येक वेष्टक तक पहुँचने के लिए अलग-अलग बिंदुओं पर नेटफिल्टर अंकुश से जुड़ता है। संयोजन अनुसरण और एनएटी उप प्रणाली आईपी ​​​​श्रृंखला और आईपीएफडब्ल्यूएडीएम के भीतर अल्पविकसित संस्करणों की तुलना में अधिक सामान्य और अधिक शक्तिशाली हैं।


2017 में [[IPv4]] और [[IPv6]] फ्लो ऑफलोड इंफ्रास्ट्रक्चर को जोड़ा गया, जिससे सॉफ्टवेयर फ्लो टेबल फॉरवर्डिंग और हार्डवेयर ऑफलोड सपोर्ट में तेजी आई।<ref name="flow-offload-infrastructure-1">{{cite web
2017 में [[IPv4|आइपीवी4]] और [[IPv6|आइपीवी6]] प्रवाह ऑफलोड आधारभूत संरचना को जोड़ा गया, जिससे सॉफ्टवेयर फ्लो तालिका अग्रेषण और हार्डवेयर ऑफलोड सपत्तन में तीव्रता आई।<ref name="flow-offload-infrastructure-1">{{cite web
  | url    = https://lwn.net/Articles/738214/
  | url    = https://lwn.net/Articles/738214/
  | title  = Flow offload infrastructure
  | title  = Flow offload infrastructure
Line 47: Line 47:




== यूजरस्पेस यूटिलिटी प्रोग्राम्स ==
== उपयोक्‍ता समष्टि उपयोगिता क्रमादेश ==
[[File:Netfilter-packet-flow.svg|thumb|right|600px|लीगेसी iptables पैकेट फ़िल्टरिंग के साथ नेटफिल्टर के माध्यम से नेटवर्क पैकेट का प्रवाह]]* {{man|8|iptables|man.cx||inline}}
[[File:Netfilter-packet-flow.svg|thumb|right|600px|लीगेसी आईपी तालिका वेष्टक निस्यंदन के साथ नेटफिल्टर के माध्यम से जालक्रम वेष्टक का प्रवाह]]* {{man|8|iptables|man.cx||inline}}
* {{man|8|ip6tables|man.cx||inline}}
* {{man|8|ip6tables|man.cx||inline}}
* {{man|8|ebtables|man.cx||inline}}
* {{man|8|ebtables|man.cx||inline}}
Line 55: Line 55:
* {{man|8|nftables|man.cx||inline}}
* {{man|8|nftables|man.cx||inline}}


=== iptables ===
=== आईपी तालिका ===
{{Main|iptables}}
{{Main|आईपी तालिका}}


कर्नेल मॉड्यूल नामित <code>ip_tables</code>, <code>ip6_tables</code>, <code>arp_tables</code> (अंडरस्कोर नाम का हिस्सा है), और <code>ebtables</code> नेटफिल्टर हुक सिस्टम के लीगेसी पैकेट फ़िल्टरिंग हिस्से को शामिल करें। वे फ़ायरवॉल नियमों को परिभाषित करने के लिए एक तालिका-आधारित प्रणाली प्रदान करते हैं जो पैकेटों को फ़िल्टर या रूपांतरित कर सकते हैं। तालिकाओं को उपयोगकर्ता-अंतरिक्ष उपकरण के माध्यम से प्रशासित किया जा सकता है <code>iptables</code>, <code>ip6tables</code>, <code>arptables</code>, और <code>ebtables</code>. ध्यान दें कि हालांकि दोनों कर्नेल मॉड्यूल और यूजरस्पेस यूटिलिटीज के नाम समान हैं, उनमें से प्रत्येक अलग कार्यक्षमता के साथ एक अलग इकाई है।
कर्नेल मापांक नामित <code>ip_tables</code>, <code>ip6_tables</code>, <code>arp_tables</code> (अधोरेखांकन नाम का भाग है), और <code>ebtables</code> नेटफिल्टर अंकुश प्रणाली के लीगेसी वेष्टक निस्यंदन भाग को सम्मिलित करें। वे सुरक्षा भित्ति नियमों को परिभाषित करने के लिए एक तालिका-आधारित प्रणाली प्रदान करते हैं जो वेष्टकों को निस्यंदन या रूपांतरित कर सकते हैं। तालिकाओं को उपयोगकर्ता-समष्टि उपकरण के माध्यम से प्रशासित किया जा सकता है <code>आईपी तालिका</code>, <code>ip6tables</code>, <code>arptables</code>, और <code>ebtables</code>. ध्यान दें कि हालांकि दोनों कर्नेल मापांक और उपयोक्‍ता समष्टि उपयोगिता के नाम समान हैं, उनमें से प्रत्येक अलग कार्यक्षमता के साथ एक अलग इकाई है।


प्रत्येक तालिका वास्तव में अपना स्वयं का हुक है, और प्रत्येक तालिका को एक विशिष्ट उद्देश्य की पूर्ति के लिए पेश किया गया था। जहाँ तक नेटफिल्टर का संबंध है, यह अन्य तालिकाओं के संबंध में एक विशेष तालिका को एक विशिष्ट क्रम में चलाता है। कोई भी तालिका स्वयं को कॉल कर सकती है और यह अपने नियमों को भी निष्पादित कर सकती है, जो अतिरिक्त प्रसंस्करण और पुनरावृत्ति की संभावनाओं को सक्षम करती है।
प्रत्येक तालिका वास्तव में अपना स्वयं का अंकुश है, और प्रत्येक तालिका को एक विशिष्ट उद्देश्य की पूर्ति के लिए प्रस्तुत किया गया था। जहाँ तक नेटफिल्टर का संबंध है, यह अन्य तालिकाओं के संबंध में एक विशेष तालिका को एक विशिष्ट क्रम में चलाता है। कोई भी तालिका स्वयं को कॉल कर सकती है और यह अपने नियमों को भी निष्पादित कर सकती है, जो अतिरिक्त प्रसंस्करण और पुनरावृत्ति की संभावनाओं को सक्षम करती है।


नियमों को जंजीरों में, या दूसरे शब्दों में, नियमों की जंजीरों में व्यवस्थित किया जाता है। इन जंजीरों को पूर्वनिर्धारित शीर्षकों के साथ नामित किया गया है, जिनमें शामिल हैं <code>INPUT</code>, <code>OUTPUT</code> और <code>FORWARD</code>. ये चेन टाइटल नेटफिल्टर स्टैक में उत्पत्ति का वर्णन करने में मदद करते हैं। पैकेट रिसेप्शन, उदाहरण के लिए, में पड़ता है <code>PREROUTING</code>, जब <code>INPUT</code> स्थानीय रूप से वितरित डेटा का प्रतिनिधित्व करता है, और अग्रेषित ट्रैफ़िक इसके अंतर्गत आता है <code>FORWARD</code> ज़ंजीर। स्थानीय रूप से उत्पन्न आउटपुट से होकर गुजरता है <code>OUTPUT</code> चेन, और भेजे जाने वाले पैकेट अंदर हैं <code>POSTROUTING</code> ज़ंजीर।
नियमों को श्रृंखलाओं में, या दूसरे शब्दों में, नियमों की श्रृंखलाओं में व्यवस्थित किया जाता है। इन श्रृंखलाओं को पूर्वनिर्धारित शीर्षकों के साथ नामित किया गया है, जिनमें सम्मिलित हैं <code>INPUT</code>, <code>आउटपुट</code> और <code>FORWARD</code>. ये श्रृंखला टाइटल नेटफिल्टर चित्ति में उत्पत्ति का वर्णन करने में सहायता करते हैं। वेष्टक अभिग्रहण, उदाहरण के लिए, में पड़ता है <code>PREROUTING</code>, जब <code>INPUT</code> स्थानीय रूप से वितरित डेटा का प्रतिनिधित्व करता है, और अग्रेषित परियात इसके अंतर्गत आता है <code>FORWARD</code> श्रृंखला। स्थानीय रूप से उत्पन्न आउटपुट से होकर गुजरता है <code>आउटपुट</code> श्रृंखला, और भेजे जाने वाले वेष्टक भीतर हैं <code>POSTROUTING</code> श्रृंखला।


नेटफिल्टर मॉड्यूल टेबल में व्यवस्थित नहीं हैं (नीचे देखें) अपने संचालन के तरीके का चयन करने के लिए मूल की जांच करने में सक्षम हैं।
नेटफिल्टर मापांक तालिका में व्यवस्थित नहीं हैं (नीचे देखें) अपने संचालन के तरीके का चयन करने के लिए मूल की जांच करने में सक्षम हैं।


; <code>iptable_raw</code> मापांक
; <code>आईपी तालिका_raw</code> मापांक
: लोड होने पर, एक हुक पंजीकृत करता है जिसे किसी अन्य नेटफिल्टर हुक से पहले कॉल किया जाएगा। यह रॉ नामक एक तालिका प्रदान करता है जिसका उपयोग पैकेट को फ़िल्टर करने के लिए किया जा सकता है, इससे पहले कि वे अधिक मेमोरी-डिमांडिंग ऑपरेशन जैसे कनेक्शन ट्रैकिंग तक पहुँचें।
: लोड होने पर, एक अंकुश पंजीकृत करता है जिसे किसी अन्य नेटफिल्टर अंकुश से पहले कॉल किया जाएगा। यह रॉ नामक एक तालिका प्रदान करता है जिसका उपयोग वेष्टक को फ़िल्टर करने के लिए किया जा सकता है, इससे पहले कि वे अधिक मेमोरी-मांग संचालन जैसे संयोजन अनुसरण तक पहुँचें।
;<code>iptable_mangle</code> मापांक
;<code>आईपी तालिका_mangle</code> मापांक
: कनेक्शन ट्रैकिंग (नीचे देखें) के बाद चलाने के लिए एक हुक और मैंगल तालिका पंजीकृत करता है (लेकिन फिर भी किसी अन्य तालिका से पहले), ताकि पैकेट में संशोधन किया जा सके। यह पालन करने वाले नियमों द्वारा अतिरिक्त संशोधनों को सक्षम करता है, जैसे NAT या आगे फ़िल्टरिंग।
: संयोजन अनुसरण (नीचे देखें) के बाद चलाने के लिए एक अंकुश और मैंगल तालिका पंजीकृत करता है (परन्तु फिर भी किसी अन्य तालिका से पहले), ताकि वेष्टक में संशोधन किया जा सके। यह पालन करने वाले नियमों द्वारा अतिरिक्त संशोधनों को सक्षम करता है, जैसे NAT या आगे निस्यंदन।
; <code>iptable_nat</code> मापांक
; <code>आईपी तालिका_nat</code> मापांक
: दो हुक पंजीकृत करता है: डेस्टिनेशन नेटवर्क एड्रेस ट्रांसलेशन-बेस्ड ट्रांसफॉर्मेशन (DNAT) फिल्टर हुक से पहले लागू होते हैं, सोर्स नेटवर्क एड्रेस ट्रांसलेशन-बेस्ड ट्रांसफॉर्मेशन (SNAT) बाद में लागू होते हैं। नेटवर्क एड्रेस ट्रांसलेशन टेबल (या nat ) जो iptables को उपलब्ध कराया जाता है, केवल नेटवर्क एड्रेस ट्रांसलेशन मैपिंग के लिए एक कॉन्फ़िगरेशन डेटाबेस है, और किसी भी तरह के फ़िल्टरिंग के लिए अभिप्रेत नहीं है।
: दो अंकुश पंजीकृत करता है: गंतव्य जालक्रम पता अनुवाद-आधारित परिवर्तन (DNAT) निस्यंदन अंकुश से पहले अनुप्रयुक्त होते हैं, स्त्रोत जालक्रम पता अनुवाद-आधारित परिवर्तन (SNAT) बाद में अनुप्रयुक्त होते हैं। जालक्रम पता अनुवाद तालिका (या nat ) जोआईपी तालिका को उपलब्ध कराया जाता है, केवल जालक्रम पता अनुवाद प्रतिचित्रिण के लिए एक संरूपण आंकड़ाकोष है, और किसी भी तरह के निस्यंदन के लिए अभिप्रेत नहीं है।
; <code>iptable_filter</code> मापांक
; <code>आईपी तालिका_निस्यंदन</code> मापांक
: फ़िल्टर तालिका को पंजीकृत करता है, जिसका उपयोग सामान्य-उद्देश्य फ़िल्टरिंग (फ़ायरवॉलिंग) के लिए किया जाता है।
: निस्यंदन तालिका को पंजीकृत करता है, जिसका उपयोग सामान्य-उद्देश्य निस्यंदन (सुरक्षा भित्ति) के लिए किया जाता है।
; <code>security_filter</code> मापांक
; <code>सुरक्षा_निस्यंदन</code> मापांक
: अनिवार्य एक्सेस कंट्रोल (MAC) नेटवर्किंग नियमों के लिए उपयोग किया जाता है, जैसे कि द्वारा सक्षम <code>SECMARK</code> और <code>CONNSECMARK</code> लक्ष्य। (ये तथाकथित लक्ष्य सुरक्षा-संवर्धित लिनक्स मार्करों को संदर्भित करते हैं।) अनिवार्य अभिगम नियंत्रण लिनक्स सुरक्षा मॉड्यूल जैसे SELinux द्वारा कार्यान्वित किया जाता है। फ़िल्टर तालिका के कॉल के बाद सुरक्षा तालिका को कॉल किया जाता है, फ़िल्टर तालिका में किसी भी विवेकाधीन अभिगम नियंत्रण (DAC) नियमों को किसी भी MAC नियमों से पहले प्रभावी होने की अनुमति देता है। यह टेबल निम्नलिखित बिल्ट-इन चेन प्रदान करती है: <code>INPUT</code> (कंप्यूटर में ही आने वाले पैकेट के लिए), <code>OUTPUT</code> (रूटिंग से पहले स्थानीय रूप से उत्पन्न पैकेट को बदलने के लिए), और <code>FORWARD</code> (कंप्यूटर के माध्यम से रूट किए जा रहे पैकेटों को बदलने के लिए)।
: अनिवार्य अभिगम नियंत्रण (MAC) जालक्रम नियमों के लिए उपयोग किया जाता है, जैसे कि द्वारा सक्षम <code>सेकमार्क</code> और <code>कॉनसेकमार्क</code> लक्ष्य। (ये तथाकथित लक्ष्य सुरक्षा-संवर्धित लिनक्स मार्करों को संदर्भित करते हैं।) अनिवार्य अभिगम नियंत्रण लिनक्स सुरक्षा मापांक जैसे SEलिनक्स द्वारा कार्यान्वित किया जाता है। निस्यंदन तालिका के कॉल के बाद सुरक्षा तालिका को कॉल किया जाता है, निस्यंदन तालिका में किसी भी विवेकाधीन अभिगम नियंत्रण (DAC) नियमों को किसी भी MAC नियमों से पहले प्रभावी होने की अनुमति प्रदान करता है। यह तालिका निम्नलिखित बिल्ट-इन श्रृंखला प्रदान करती है: <code>INPUT</code> (अभिकलित्र में ही आने वाले वेष्टक के लिए), <code>आउटपुट</code> (रूटिंग से पहले स्थानीय रूप से उत्पन्न वेष्टक को परिवर्तित करने के लिए), और <code>FORWARD</code> (अभिकलित्र के माध्यम से रूट किए जा रहे वेष्टकों को परिवर्तित करने के लिए)।


=== nftables ===
=== एनएफ tables ===
{{Main|nftables}}
{{Main|nftables}}


nftables नेटफिल्टर का नया पैकेट-फ़िल्टरिंग भाग है। <code>nft</code> नई यूजरस्पेस उपयोगिता है जो प्रतिस्थापित करती है <code>iptables</code>, <code>ip6tables</code>, <code>arptables</code> और <code>ebtables</code>.
एनएफ तालिका नेटफिल्टर का नया वेष्टक-निस्यंदन भाग है। <code>एनएफटी</code> नई उपयोक्‍ता समष्टि उपयोगिता है जो प्रतिस्थापित करती है <code>आईपी तालिका</code>, <code>ip6tables</code>, <code>arptables</code> और <code>ebtables</code>.


nftables कर्नेल इंजन लिनक्स कर्नेल में एक साधारण [[ आभासी मशीन ]] जोड़ता है, जो एक नेटवर्क पैकेट का निरीक्षण करने के लिए बायटेकोड को निष्पादित करने में सक्षम है और यह निर्णय लेता है कि उस पैकेट को कैसे संभाला जाना चाहिए। इस वर्चुअल मशीन द्वारा क्रियान्वित किए गए संचालन को जानबूझकर बुनियादी बनाया गया है: यह पैकेट से ही डेटा प्राप्त कर सकता है, संबद्ध मेटाडेटा (उदाहरण के लिए इनबाउंड इंटरफ़ेस) पर एक नज़र डाल सकता है, और कनेक्शन ट्रैकिंग डेटा का प्रबंधन कर सकता है। उस डेटा के आधार पर निर्णय लेने के लिए अंकगणित, बिटवाइज़ और तुलना ऑपरेटरों का उपयोग किया जा सकता है। वर्चुअल मशीन डेटा के सेट (आमतौर पर आईपी पते) में हेरफेर करने में भी सक्षम है, जिससे कई तुलना संचालन को एकल सेट लुकअप से बदला जा सकता है।<ref name="lwn-nftables">{{cite web
एनएफ तालिका कर्नेल इंजन लिनक्स कर्नेल में एक साधारण [[ आभासी मशीन | आभासी यन्त्र]] जोड़ता है, जो एक जालक्रम वेष्टक का निरीक्षण करने के लिए बायटेकोड को निष्पादित करने में सक्षम है और यह निर्णय लेता है कि उस वेष्टक को कैसे संभाला जाना चाहिए। इस अंतरापृष्ठ यन्त्र द्वारा क्रियान्वित किए गए संचालन को जानबूझकर बुनियादी बनाया गया है: यह वेष्टक से ही डेटा प्राप्त कर सकता है, संबद्ध मेटाडेटा (उदाहरण के लिए भीतर का अंतरापृष्ठ) पर एक नज़र डाल सकता है, और संयोजन अनुसरण डेटा का प्रबंधन कर सकता है। उस डेटा के आधार पर निर्णय लेने के लिए अंकगणित, बिटवाइज़ और तुलना ऑपरेटरों का उपयोग किया जा सकता है। अंतरापृष्ठ यन्त्र डेटा के समूह (सामान्यतः आईपी पते) में प्रकलन करने में भी सक्षम है, जिससे कई तुलना संचालन को एकल समूह लुकअप से परिवर्तित किया जा सकता है।<ref name="lwn-nftables">{{cite web
  | url        = https://lwn.net/Articles/564095/
  | url        = https://lwn.net/Articles/564095/
  | title      = The return of nftables
  | title      = The return of nftables
Line 89: Line 89:
  | author    = Jonathan Corbet
  | author    = Jonathan Corbet
  | publisher  = [[LWN.net]]}}</ref>
  | publisher  = [[LWN.net]]}}</ref>
यह लीगेसी Xtables (iptables, आदि) कोड के विपरीत है, जिसमें प्रोटोकॉल जागरूकता कोड में इतनी गहराई से अंतर्निहित है कि इसे चार बार दोहराया जाना है{{mdashb}}IPv4, IPv6, ARP और ईथरनेट ब्रिजिंग के लिए{{mdashb}}क्योंकि फ़ायरवॉल इंजन सामान्य तरीके से उपयोग किए जाने के लिए बहुत अधिक प्रोटोकॉल-विशिष्ट हैं।<ref name="lwn-nftables" />मुख्य लाभ खत्म <code>iptables</code> लिनक्स कर्नेल [[अनुप्रयोग बाइनरी इंटरफ़ेस]] का सरलीकरण, [[डुप्लिकेट कोड]] में कमी, [[त्रुटि संदेश]] में सुधार, और अधिक कुशल निष्पादन, भंडारण, और वृद्धिशील, फ़िल्टरिंग नियमों में एटोमिकिटी_(डेटाबेस_सिस्टम) परिवर्तन हैं।
यह लीगेसी Xtables (आईपी तालिका, आदि) कोड के विपरीत है, जिसमें विज्ञप्ति जागरूकता कोड में इतनी गहराई से अंतर्निहित है कि इसे चार बार दोहराया जाना है{{mdashb}}आइपीवी4, आइपीवी6, ARP और ईथरनेट ब्रिजिंग के लिए{{mdashb}}क्योंकि सुरक्षा भित्ति इंजन सामान्य तरीके से उपयोग किए जाने के लिए बहुत अधिक विज्ञप्ति-विशिष्ट हैं।<ref name="lwn-nftables" />मुख्य लाभ खत्म <code>आईपी तालिका</code> लिनक्स कर्नेल [[अनुप्रयोग बाइनरी इंटरफ़ेस]] का सरलीकरण, [[डुप्लिकेट कोड]] में कमी, [[त्रुटि संदेश]] में सुधार, और अधिक कुशल निष्पादन, भंडारण, और वृद्धिशील, निस्यंदन नियमों में एटोमिकिटी_(डेटाबेस_प्रणाली) परिवर्तन हैं।


== पैकेट डीफ़्रेग्मेंटेशन ==
== वेष्टक डीफ़्रेग्मेंटेशन ==
{{See also|IP fragmentation}} <code>nf_defrag_ipv4</code> ई> मॉड्यूल IPv4 पैकेट्स को नेटफिल्टर के कनेक्शन ट्रैकिंग (<code>nf_conntrack_ipv4</code> मापांक)। यह इन-कर्नेल कनेक्शन ट्रैकिंग और एनएटी हेल्पर मॉड्यूल (जो मिनी-[[ आवेदन स्तर का प्रवेश द्वार ]] का एक रूप है) के लिए आवश्यक है जो केवल पूरे पैकेट पर मज़बूती से काम करते हैं, ज़रूरी नहीं कि फ़्रैगमेंट पर भी।
{{See also|IP fragmentation}} <code>एनएफ_defrag_आइपीवी4</code> ई> मापांक आइपीवी4 वेष्टक्स को नेटफिल्टर के संयोजन अनुसरण ( <code>एनएफ_कनेक्टट्रैक_आइपीवी4</code> मापांक)। यह इन-कर्नेल संयोजन अनुसरण और एनएटी हेल्पर मापांक (जो मिनी-[[ आवेदन स्तर का प्रवेश द्वार ]] का एक रूप है) के लिए आवश्यक है जो केवल पूरे वेष्टक पर मज़बूती से काम करते हैं, ज़रूरी नहीं कि फ़्रैगमेंट पर भी।


IPv6 डीफ़्रेग्मेंटर अपने आप में एक मॉड्यूल नहीं है, बल्कि इसमें एकीकृत है <code>nf_conntrack_ipv6</code> मापांक।
आइपीवी6 डीफ़्रेग्मेंटर अपने आप में एक मापांक नहीं है, बल्कि इसमें एकीकृत है <code>एनएफ_कनेक्टट्रैक_आइपीवी6</code> मापांक।


== कनेक्शन ट्रैकिंग ==
== संयोजन अनुसरण ==
{{See also|Stateful packet inspection}}
{{See also|राजकीय वेष्टक निरीक्षण}}


कनेक्शन ट्रैकिंग नेटफिल्टर ढांचे के शीर्ष पर निर्मित महत्वपूर्ण विशेषताओं में से एक है।<ref>{{cite web
संयोजन अनुसरण नेटफिल्टर ढांचे के शीर्ष पर निर्मित महत्वपूर्ण विशेषताओं में से एक है।<ref>{{cite web
  | title = Netfilter's Connection Tracking System
  | title = Netfilter's Connection Tracking System
  | first = Pablo
  | first = Pablo
  | last  = Neira Ayuso
  | last  = Neira Ayuso
  | date  = 14 June 2006
  | date  = 14 June 2006
  | url  = https://people.netfilter.org/pablo/docs/login.pdf}}</ref> कनेक्शन ट्रैकिंग कर्नेल को सभी तार्किक नेटवर्क कनेक्शन या [[सत्र (कंप्यूटर विज्ञान)]] का ट्रैक रखने की अनुमति देती है, और इस तरह उन सभी पैकेटों से संबंधित होती है जो उस कनेक्शन को बना सकते हैं। NAT इसी तरह से सभी संबंधित पैकेटों का अनुवाद करने के लिए इस जानकारी पर निर्भर करता है, और <code>iptables</code> स्टेटफुल फ़ायरवॉल के रूप में कार्य करने के लिए इस जानकारी का उपयोग कर सकते हैं।
  | url  = https://people.netfilter.org/pablo/docs/login.pdf}}</ref> संयोजन अनुसरण कर्नेल को सभी तार्किक जालक्रम संयोजन या [[सत्र (कंप्यूटर विज्ञान)|सत्र (अभिकलित्र विज्ञान)]] का ट्रैक रखने की अनुमति देती है, और इस तरह उन सभी वेष्टकों से संबंधित होती है जो उस संयोजन को बना सकते हैं। NAT इसी तरह से सभी संबंधित वेष्टकों का अनुवाद करने के लिए इस जानकारी पर निर्भर करता है, और <code>आईपी तालिका</code> स्टेटफुल सुरक्षा भित्ति के रूप में कार्य करने के लिए इस जानकारी का उपयोग कर सकते हैं।


कनेक्शन स्थिति हालांकि किसी भी ऊपरी स्तर के राज्य से पूरी तरह से स्वतंत्र है, जैसे कि टीसीपी या एससीटीपी का राज्य। इसका एक कारण यह है कि जब केवल अग्रेषण पैकेट, यानी कोई स्थानीय वितरण नहीं होता है, तो टीसीपी इंजन को जरूरी नहीं लगाया जा सकता है। यहां तक ​​कि उपयोगकर्ता डाटाग्राम प्रोटोकॉल, [[आईपीसेक]] (एएच/ईएसपी), [[जेनेरिक रूटिंग इनकैप्सुलेशन]] और अन्य [[टनलिंग प्रोटोकॉल]] जैसे कनेक्शन रहित-मोड प्रसारण में कम से कम एक छद्म कनेक्शन स्थिति है। ऐसे प्रोटोकॉल के लिए अनुमानी अक्सर निष्क्रियता के लिए एक पूर्व निर्धारित टाइमआउट मान पर आधारित होता है, जिसकी समाप्ति के बाद नेटफिल्टर कनेक्शन हटा दिया जाता है।
संयोजन स्थिति हालांकि किसी भी ऊपरी स्तर के राज्य से पूर्णतया से स्वतंत्र है, जैसे कि टीसीपी या एससीटीपी का राज्य। इसका एक कारण यह है कि जब केवल अग्रेषण वेष्टक, यानी कोई स्थानीय वितरण नहीं होता है, तो टीसीपी इंजन को जरूरी नहीं लगाया जा सकता है। यहां तक ​​कि उपयोगकर्ता डाटाग्राम विज्ञप्ति, [[आईपीसेक]] (एएच/ईएसपी), [[जेनेरिक रूटिंग इनकैप्सुलेशन]] और अन्य [[टनलिंग प्रोटोकॉल|टनलिंग विज्ञप्ति]] जैसे संयोजन रहित-मोड प्रसारण में कम से कम एक छद्म संयोजन स्थिति है। ऐसे विज्ञप्ति के लिए अनुमानी प्रायः निष्क्रियता के लिए एक पूर्व निर्धारित टाइमआउट मान पर आधारित होता है, जिसकी समाप्ति के बाद नेटफिल्टर संयोजन हटा दिया जाता है।


प्रत्येक नेटफिल्टर कनेक्शन को विशिष्ट रूप से (लेयर-3 प्रोटोकॉल, सोर्स एड्रेस, डेस्टिनेशन एड्रेस, लेयर-4 प्रोटोकॉल, लेयर-4 की) टपल द्वारा पहचाना जाता है। परत-4 कुंजी परिवहन प्रोटोकॉल पर निर्भर करती है; टीसीपी/यूडीपी के लिए यह पोर्ट संख्या है, सुरंगों के लिए यह उनकी सुरंग आईडी हो सकती है, लेकिन अन्यथा केवल शून्य है, जैसे कि यह टपल का हिस्सा नहीं था। सभी मामलों में टीसीपी पोर्ट का निरीक्षण करने में सक्षम होने के लिए पैकेट को अनिवार्य रूप से डीफ़्रेग्मेंट किया जाएगा।
प्रत्येक नेटफिल्टर संयोजन को विशिष्ट रूप से (लेयर-3 विज्ञप्ति, स्त्रोत पता, गंतव्य पता, लेयर-4 विज्ञप्ति, लेयर-4 की) टपल द्वारा पहचाना जाता है। परत-4 कुंजी परिवहन विज्ञप्ति पर निर्भर करती है; टीसीपी/यूडीपी के लिए यह पत्तन संख्या है, सुरंगों के लिए यह उनकी सुरंग आईडी हो सकती है, परन्तु अन्यथा केवल शून्य है, जैसे कि यह टपल का भाग नहीं था। सभी स्थितियों में टीसीपी पत्तन का निरीक्षण करने में सक्षम होने के लिए वेष्टक को अनिवार्य रूप से डी-खंडित किया जाएगा।


नेटफिल्टर कनेक्शन को यूजर-स्पेस टूल के साथ जोड़-तोड़ किया जा सकता है <code>conntrack</code>.
नेटफिल्टर संयोजन को उपयोक्ता समष्टि टूल के साथ जोड़-तोड़ किया जा सकता है <code>कनेक्टट्रैक</code>.


<code>iptables</code> पैकेट फ़िल्टरिंग नियमों को अधिक शक्तिशाली और प्रबंधित करने में आसान बनाने के लिए कनेक्शन की जानकारी जैसे राज्यों, स्थितियों और अधिक की जाँच का उपयोग कर सकते हैं। सबसे आम राज्य हैं:
<code>आईपी तालिका</code> वेष्टक निस्यंदन नियमों को अधिक शक्तिशाली और प्रबंधित करने में आसान बनाने के लिए संयोजन की जानकारी जैसे राज्यों, स्थितियों और अधिक की जाँच का उपयोग कर सकते हैं। सबसे आम राज्य हैं:
; <code>NEW</code>: एक नया कनेक्शन बनाने की कोशिश कर रहा है
; <code>NEW</code>: एक नया संयोजन बनाने की कोशिश कर रहा है
; <code>ESTABLISHED</code>: पहले से मौजूद कनेक्शन का हिस्सा
; <code>ESTABLISHED</code>: पहले से मौजूद संयोजन का भाग
; <code>RELATED</code>: एक पैकेट को सौंपा गया है जो एक नया कनेक्शन शुरू कर रहा है और जिसकी अपेक्षा की गई है; उपरोक्त मिनी-एएलजी इन अपेक्षाओं को स्थापित करते हैं, उदाहरण के लिए, जब <code>nf_conntrack_ftp</code> मॉड्यूल एक [[फाइल ट्रांसफर प्रोटोकॉल]] देखता है<code>PASV</code>आज्ञा
; <code>RELATED</code>: एक वेष्टक को सौंपा गया है जो एक नया संयोजन प्रारंभ कर रहा है और जिसकी अपेक्षा की गई है; उपरोक्त मिनी-एएलजी इन अपेक्षाओं को स्थापित करते हैं, उदाहरण के लिए, जब <code>एनएफ_कनेक्टट्रैक_ftp</code> मापांक एक [[फाइल ट्रांसफर प्रोटोकॉल|संचिका अंतरण विज्ञप्ति]] देखता है<code>PASV</code>आज्ञा
; <code>INVALID</code>: पैकेट को [[अमान्य पैकेट]] पाया गया, उदा। यह [[टीसीपी कनेक्शन]] आरेख का पालन नहीं करेगा
; <code>INVALID</code>: वेष्टक को [[अमान्य पैकेट|अमान्य वेष्टक]] पाया गया, उदा। यह [[टीसीपी कनेक्शन|टीसीपी संयोजन]] आरेख का पालन नहीं करेगा
; <code>UNTRACKED</code>: एक विशेष स्थिति जो किसी विशेष पैकेट के लिए कनेक्शन ट्रैकिंग को बायपास करने के लिए व्यवस्थापक द्वारा निर्दिष्ट की जा सकती है (ऊपर कच्ची तालिका देखें)।
; <code>UNTRACKED</code>: एक विशेष स्थिति जो किसी विशेष वेष्टक के लिए संयोजन अनुसरण को बायपास करने के लिए व्यवस्थापक द्वारा निर्दिष्ट की जा सकती है (ऊपर कच्ची तालिका देखें)।


एक सामान्य उदाहरण यह होगा कि कनट्रैक सबसिस्टम जो पहला पैकेट देखता है उसे नया वर्गीकृत किया जाएगा, उत्तर को वर्गीकृत किया जाएगा और एक [[ इंटरनेट नियंत्रण संदेश प्रोटोकॉल ]] त्रुटि संबंधित होगी। एक ICMP त्रुटि पैकेट जो किसी ज्ञात कनेक्शन से मेल नहीं खाता है, वह अमान्य होगा।
एक सामान्य उदाहरण यह होगा कि कनट्रैक उप प्रणाली जो पहला वेष्टक देखता है उसे नया वर्गीकृत किया जाएगा, उत्तर को वर्गीकृत किया जाएगा और एक [[ इंटरनेट नियंत्रण संदेश प्रोटोकॉल | इंटरनेट नियंत्रण संदेश विज्ञप्ति]] त्रुटि संबंधित होगी। एक ICMP त्रुटि वेष्टक जो किसी ज्ञात संयोजन से मेल नहीं खाता है, वह अमान्य होगा।


===कनेक्शन ट्रैकिंग सहायक===
===संयोजन अनुसरण सहायक===
प्लगइन मॉड्यूल के उपयोग के माध्यम से, कनेक्शन ट्रैकिंग को एप्लिकेशन-लेयर प्रोटोकॉल का ज्ञान दिया जा सकता है और इस प्रकार यह समझा जा सकता है कि दो या दो से अधिक अलग-अलग कनेक्शन संबंधित हैं। उदाहरण के लिए, [[फाइल ट्रांसफर प्रोटोकॉल]] प्रोटोकॉल पर विचार करें। एक नियंत्रण कनेक्शन स्थापित किया जाता है, लेकिन जब भी डेटा स्थानांतरित किया जाता है, इसे स्थानांतरित करने के लिए एक अलग कनेक्शन स्थापित किया जाता है। जब <code>nf_conntrack_ftp</code> मॉड्यूल लोड किया गया है, तो FTP डेटा कनेक्शन के पहले पैकेट को नए के बजाय संबंधित के रूप में वर्गीकृत किया जाएगा, क्योंकि यह तार्किक रूप से मौजूदा कनेक्शन का हिस्सा है।
प्लगइन मापांक के उपयोग के माध्यम से, संयोजन अनुसरण को एप्लिकेशन-लेयर विज्ञप्ति का ज्ञान दिया जा सकता है और इस प्रकार यह समझा जा सकता है कि दो या दो से अधिक अलग-अलग संयोजन संबंधित हैं। उदाहरण के लिए, [[फाइल ट्रांसफर प्रोटोकॉल|फाइल ट्रांसफर विज्ञप्ति]] विज्ञप्ति पर विचार करें। एक नियंत्रण संयोजन स्थापित किया जाता है, परन्तु जब भी डेटा स्थानांतरित किया जाता है, इसे स्थानांतरित करने के लिए एक अलग संयोजन स्थापित किया जाता है। जब <code>एनएफ_कनेक्टट्रैक_ftp</code> मापांक लोड किया गया है, तो FTP डेटा संयोजन के पहले वेष्टक को नए के बजाय संबंधित के रूप में वर्गीकृत किया जाएगा, क्योंकि यह तार्किक रूप से मौजूदा संयोजन का भाग है।


सहायक एक समय में केवल एक पैकेट का निरीक्षण करते हैं, इसलिए यदि कनेक्शन ट्रैकिंग के लिए महत्वपूर्ण जानकारी दो पैकेटों में विभाजित है, या तो आईपी विखंडन या टीसीपी विभाजन के कारण, सहायक आवश्यक रूप से पैटर्न को पहचान नहीं पाएगा और इसलिए अपना ऑपरेशन नहीं करेगा। IP विखंडन को डीफ़्रेग्मेंटेशन की आवश्यकता वाले कनेक्शन ट्रैकिंग सबसिस्टम से निपटा जाता है, हालाँकि TCP विभाजन को नियंत्रित नहीं किया जाता है। एफ़टीपी के मामले में, सेगमेंटेशन को कमांड जैसे कमांड के पास नहीं माना जाता है <code>PASV</code> मानक खंड आकार के साथ, इसलिए नेटफिल्टर में भी इसका निपटारा नहीं किया जाता है।
सहायक एक समय में केवल एक वेष्टक का निरीक्षण करते हैं, इसलिए यदि संयोजन अनुसरण के लिए महत्वपूर्ण जानकारी दो वेष्टकों में विभाजित है, या तो आईपी विखंडन या टीसीपी विभाजन के कारण, सहायक आवश्यक रूप से पैटर्न को पहचान नहीं पाएगा और इसलिए अपना ऑपरेशन नहीं करेगा। IP विखंडन को डीफ़्रेग्मेंटेशन की आवश्यकता वाले संयोजन अनुसरण उप प्रणाली से निपटा जाता है, हालाँकि TCP विभाजन को नियंत्रित नहीं किया जाता है। एफ़टीपी के मामले में, सेगमेंटेशन को समादेश जैसे समादेश के पास नहीं माना जाता है <code>PASV</code> मानक खंड आकार के साथ, इसलिए नेटफिल्टर में भी इसका निपटारा नहीं किया जाता है।


== नेटवर्क एड्रेस ट्रांसलेशन ==
== जालक्रम पता अनुवाद ==
{{Main|Network address translation}}
{{Main|जालक्रम पता अनुवाद}}


प्रत्येक कनेक्शन में मूल पतों और उत्तर पतों का एक सेट होता है, जो शुरू में वही शुरू करते हैं। नेटफिल्टर में एनएटी केवल उत्तर पते को बदलकर और जहां वांछित हो, पोर्ट को बदलकर कार्यान्वित किया जाता है। जब पैकेट प्राप्त होते हैं, तो उनके कनेक्शन टपल की तुलना रिप्लाई एड्रेस पेयर (और पोर्ट्स) से भी की जाएगी। NAT के लिए खंड-मुक्त होना भी एक आवश्यकता है। (यदि आवश्यकता हो, IPv4 पैकेट को सामान्य, गैर-नेटफिल्टर, IPv4 स्टैक द्वारा रीफ्रैगमेंट किया जा सकता है।)
प्रत्येक संयोजन में मूल पतों और उत्तर पतों का एक समूह होता है, जो प्रारंभ में वही प्रारंभ करते हैं। नेटफिल्टर में एनएटी केवल उत्तर पते को बदलकर और जहां वांछित हो, पत्तन को बदलकर कार्यान्वित किया जाता है। जब वेष्टक प्राप्त होते हैं, तो उनके संयोजन टपल की तुलना रिप्लाई पता पेयर (और पत्तन्स) से भी की जाएगी। NAT के लिए खंड-मुक्त होना भी एक आवश्यकता है। (यदि आवश्यकता हो, आइपीवी4 वेष्टक को सामान्य, गैर-नेटफिल्टर, आइपीवी4 चित्ति द्वारा रीफ्रैगमेंट किया जा सकता है।)


=== एनएटी हेल्पर्स ===
=== एनएटी सहायक ===
कनेक्शन ट्रैकिंग हेल्पर्स के समान, NAT हेल्पर्स एक पैकेट निरीक्षण करेंगे और मूल पतों को पेलोड में उत्तर पतों द्वारा प्रतिस्थापित करेंगे।
संयोजन अनुसरण सहायक के समान, एनएटी सहायक एक वेष्टक निरीक्षण करेंगे और मूल पतों को आयभार में उत्तर पतों द्वारा प्रतिस्थापित करेंगे।


== आगे नेटफिल्टर प्रोजेक्ट ==
== अग्रसर नेटफिल्टर परियोजनाएं ==
हालांकि कर्नेल मॉड्यूल नहीं है जो सीधे नेटफिल्टर कोड का उपयोग करता है, नेटफिल्टर प्रोजेक्ट कुछ और उल्लेखनीय सॉफ्टवेयर को होस्ट करता है।
हालांकि कर्नेल मापांक नहीं है जो सीधे नेटफिल्टर सांकेतिक अंक का उपयोग करता है, नेटफिल्टर परियोजना कुछ और उल्लेखनीय सॉफ्टवेयर का आयोजन करता है।


=== कनेक्ट-टूल्स ===
=== कनेक्टट्रैक-साधन ===
<code>conntrack-tools</code> लिनक्स के लिए यूजर-स्पेस टूल्स का एक सेट है जो सिस्टम एडमिनिस्ट्रेटर को कनेक्शन ट्रैकिंग प्रविष्टियों और तालिकाओं के साथ इंटरैक्ट करने की अनुमति देता है। पैकेज में शामिल है <code>conntrackd</code> डेमन और कमांड लाइन इंटरफ़ेस <code>conntrack</code>. यूजरस्पेस डेमन <code>conntrackd</code> उच्च उपलब्धता क्लस्टर-आधारित स्टेटफुल फ़ायरवॉल को सक्षम करने और स्टेटफुल फ़ायरवॉल के उपयोग के आँकड़े एकत्र करने के लिए उपयोग किया जा सकता है। कमांड लाइन इंटरफ़ेस <code>conntrack</code> अप्रचलित की तुलना में कनेक्शन ट्रैकिंग सिस्टम को अधिक लचीला इंटरफ़ेस प्रदान करता है <code>/proc/net/nf_conntrack</code>.
<code>कनेक्टट्रैक-साधन</code> लिनक्स के लिए उपयोक्ता समष्टि साधन का एक समूह है जो प्रणाली प्रशासकों को संयोजन अनुसरण प्रविष्टियों और तालिकाओं के साथ अन्तःक्रिया करने की अनुमति प्रदान करता है। संवेष्टक में <code>कनेक्टट्रैकड</code> डेमॉन और समादेश पंक्ति अंतरापृष्ठ <code>कनेक्टट्रैक</code> सम्मिलित है। उपयोक्‍ता समष्टि डेमॉन <code>कनेक्टट्रैकड</code> का उपयोग उच्च उपलब्धता समूह-आधारित राजकीय सुरक्षा भित्ति को सक्षम करने और राजकीय सुरक्षा भित्ति के उपयोग के आँकड़े एकत्र करने के लिए उपयोग किया जा सकता है। समादेश पंक्ति अंतरापृष्ठ <code>कनेक्टट्रैक</code> अप्रचलित <code>/ प्रोक/नेट/ एनएफ_कनेक्टट्रैक</code> की तुलना में संयोजन अनुसरण प्रणाली को अधिक नम्य अंतरापृष्ठ प्रदान करता है।


=== आईपीसेट ===
=== आईपीसमूह ===
कनेक्शन ट्रैकिंग जैसे अन्य एक्सटेंशन के विपरीत, <code>ipset</code><ref>{{cite web
संयोजन अनुसरण जैसे अन्य विस्तारण के विपरीत, <code>आईपीसमूह</code> <ref>{{cite web
  | url        = http://ipset.netfilter.org/
  | url        = http://ipset.netfilter.org/
  | title      = IP sets
  | title      = IP sets
  | publisher  = ipset.netfilter.org
  | publisher  = ipset.netfilter.org
  | access-date = 2014-07-04}}</ref> से अधिक संबंधित है <code>iptables</code> कोर नेटफिल्टर कोड की तुलना में। <code>ipset</code> उदाहरण के लिए नेटफिल्टर हुक का उपयोग नहीं करता है, लेकिन वास्तव में एक प्रदान करता है <code>iptables</code> आईपी ​​​​सेट में मिलान करने और न्यूनतम संशोधन (सेट/स्पष्ट) करने के लिए मॉड्यूल।
  | access-date = 2014-07-04}}</ref> कोर नेटफिल्टर सांकेतिक अंक की तुलना में <code>आईपीतालिका</code> से अधिक संबंधित है। उदाहरण के लिए, <code>आईपीसमूह</code> नेटफिल्टर अंकुश का उपयोग नहीं करता है, परन्तु वास्तव में आईपी समूहों से मिलान करने और न्यूनतम संशोधन (समूह/स्पष्ट) करने के लिए एक <code>आईपीतालिका</code> मापांक प्रदान करता है।


यूजर-स्पेस टूल कहा जाता है <code>ipset</code> लिनक्स कर्नेल में तथाकथित आईपी सेट को स्थापित करने, बनाए रखने और निरीक्षण करने के लिए उपयोग किया जाता है। एक आईपी सेट में आमतौर पर आईपी पतों का एक सेट होता है, लेकिन इसके प्रकार के आधार पर अन्य नेटवर्क नंबरों के सेट भी हो सकते हैं। ये सेट नंगे की तुलना में बहुत अधिक लुकअप-कुशल हैं <code>iptables</code> नियम, लेकिन निश्चित रूप से अधिक स्मृति पदचिह्न के साथ आ सकते हैं। विभिन्न भंडारण एल्गोरिदम (मेमोरी में डेटा संरचनाओं के लिए) प्रदान किए जाते हैं <code>ipset</code> उपयोगकर्ता के लिए एक इष्टतम समाधान का चयन करने के लिए।
<code>आईपीसमूह</code> नामक उपयोक्ता समष्टि साधन का उपयोग लिनक्स कर्नेल में तथाकथित "आईपी समूह" को स्थापित करने, बनाए रखने और निरीक्षण करने के लिए किया जाता है। एक आईपी समूह में सामान्यतः आईपी पतों का एक समूह होता है, परन्तु इसके "प्रकार" के आधार पर अन्य जालक्रम संख्याओं के समूह भी हो सकते हैं। ये समूह अरक्षित <code>आईपीतालिका</code> नियमों की तुलना में बहुत अधिक कुशल हैं, परन्तु निश्चित रूप से अधिक स्मृति पदचिह्न के साथ आ सकते हैं। उपयोगकर्ता के लिए इष्टतम समाधान चुनने के लिए विभिन्न भंडारण कलन विधि (मेमोरी में डेटा संरचनाओं के लिए) <code>आईपीसमूह</code> में प्रदान किए जाते हैं।


एक सेट में कोई भी प्रविष्टि दूसरे सेट से बंधी हो सकती है, जिससे परिष्कृत मिलान संचालन की अनुमति मिलती है। एक सेट को केवल तभी हटाया (नष्ट) किया जा सकता है जब कोई सेट न हो <code>iptables</code> नियम या अन्य सेट इसका जिक्र करते हैं।
एक समूह में कोई भी प्रविष्टि दूसरे समूह से बंधी हो सकती है, जिससे परिष्कृत मिलान संचालन की अनुमति मिलती है। एक समूह को केवल तभी हटाया (नष्ट) किया जा सकता है जब कोई <code>आईपी तालिका</code> नियम या अन्य समूह इसका संदर्भ नहीं दे रहे हों।


=== प्रॉक्सी के साथ ===
=== <code>एसवाईएन प्रॉक्सी</code> ===
<code>SYNPROXY</code> लक्ष्य ऐसे मामलों में कनेक्शन ट्रैकिंग द्वारा लगाए गए बड़े प्रदर्शन दंड के बिना बड़ी [[एसवाईएन बाढ़]] को संभव बनाता है। प्रारंभिक रीडायरेक्ट करके <code>SYN</code> के लिए अनुरोध <code>SYNPROXY</code> लक्ष्य, कनेक्शन ट्रैकिंग के भीतर कनेक्शन तब तक पंजीकृत नहीं होते जब तक कि वे एक मान्य फाइनल तक नहीं पहुंच जाते <code>ACK</code> राज्य, संभावित रूप से अमान्य कनेक्शनों की बड़ी संख्या को ध्यान में रखते हुए कनेक्शन ट्रैकिंग को मुक्त करना। इस तरह, विशाल <code>SYN</code> बाढ़ से प्रभावी तरीके से निपटा जा सकता है।<ref>{{cite web
<code>सिंप्रोक्सी</code> लक्ष्य ऐसे स्थितियों में संयोजन अनुसरण द्वारा लगाए गए बड़े प्रदर्शन दंड के बिना बड़ी [[एसवाईएन बाढ़|एसवाईएन बहुतायत]] से निपटना संभव बनाता है। <code>सिंप्रोक्सी</code> लक्ष्य के लिए प्रारंभिक <code>एसवाईएन</code> अनुरोधों को पुनर्निर्देशित करके, संयोजन अनुसरण के भीतर संयोजन तब तक पंजीकृत नहीं होते जब तक कि वे एक मान्य अंतिम <code>एसीके</code> स्थिति तक नहीं पहुंच जाते हैं, संभावित रूप से अमान्य संयोजनों की बड़ी संख्याओं को ध्यान में रखते हुए संयोजन अनुसरण को मुक्त कर देते हैं। इस तरह, विशाल <code>एसवाईएन</code> बहुतायत को प्रभावी तरीके से नियंत्रित किया जा सकता है।।<ref>{{cite web
  | url        = https://lwn.net/Articles/563151/
  | url        = https://lwn.net/Articles/563151/
  | title      = netfilter: implement netfilter SYN proxy  
  | title      = netfilter: implement netfilter SYN proxy  
Line 159: Line 159:
  | author    = Patrick McHardy
  | author    = Patrick McHardy
  | publisher  = [[LWN.net]]}}</ref>
  | publisher  = [[LWN.net]]}}</ref>
3 नवंबर 2013 को, <code>SYN</code> लिनक्स कर्नेल मेनलाइन के संस्करण 3.12 के रिलीज के साथ, प्रॉक्सी कार्यक्षमता को नेटफिल्टर में विलय कर दिया गया था।<ref>{{cite web
 
3 नवंबर 2013 को, लिनक्स कर्नेल प्रमुख मार्ग के संस्करण 3.12 के विमोचन के साथ, <code>एसवाईएन</code>  प्रॉक्सी कार्यक्षमता को नेटफिल्टर में विलय कर दिया गया था।<ref>{{cite web
  | url        = https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=48b1de4c110a7afa4b85862f6c75af817db26fad
  | url        = https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=48b1de4c110a7afa4b85862f6c75af817db26fad
  | title      = netfilter: add SYNPROXY core/target
  | title      = netfilter: add SYNPROXY core/target
Line 172: Line 173:




=== उलोगड ===
<code>ulogd</code> नेटफिल्टर सबसिस्टम से पैकेट और इवेंट नोटिफिकेशन प्राप्त करने और लॉग करने के लिए एक यूजर-स्पेस डेमन है। <code>ip_tables</code> यूजरस्पेस क्यूइंग मैकेनिज्म के माध्यम से पैकेट वितरित कर सकते हैं, और कनेक्शन ट्रैकिंग के साथ बातचीत कर सकते हैं <code>ulogd</code> पैकेट या घटनाओं के बारे में और जानकारी का आदान-प्रदान करने के लिए (जैसे कनेक्शन फाड़ना, एनएटी सेटअप)।


===यूजरस्पेस लाइब्रेरी ===
=== यूलॉगड ===
नेटफिल्टर पुस्तकालयों का एक सेट भी प्रदान करता है <code>libnetfilter</code> उनके नामों के उपसर्ग के रूप में, जिनका उपयोग उपयोक्ता स्थान से विभिन्न कार्यों को करने के लिए किया जा सकता है। ये पुस्तकालय GNU GPL संस्करण 2 के तहत जारी किए गए हैं। विशेष रूप से, वे निम्नलिखित हैं:
<code>यूलॉगड</code> नेटफिल्टर उप-प्रणाली से वेष्टक और घटना सूचना प्राप्त करने और लॉग करने के लिए एक उपयोक्ता समष्टि डेमॉन है। <code>आईपी_तालिका</code> वेष्टको को उपयोक्‍ता समष्टि पंक्तियन क्रियाविधि के माध्यम से वितरित कर सकता हैं और संयोजन अनुसरण वेष्टक या घटनाओं (जैसे संयोजन टियरडाउन, एनएटी व्यवस्थापन) के विषय में और सूचना का आदान-प्रदान करने के लिए <code>यूलॉगड</code> के साथ अंत:क्रिया कर सकता है।
; <code>libnetfilter_queue</code>
 
: iptables के साथ संयोजन के रूप में उपयोक्ता स्थान पैकेट पंक्तिबद्ध करने की अनुमति देता है; पर आधारित <code>libnfnetlink</code>
===उपयोक्‍ता समष्टि पुस्तकालय ===
; <code>libnetfilter_conntrack</code>
नेटफिल्टर पुस्तकालयों का एक समूह भी प्रदान करता है जिसमें उनके नाम के उपसर्ग के रूप में <code>लिबनेट निस्यंदन</code> होता है, जिनका उपयोग उपयोक्ता समष्टि से विभिन्न कार्यों को करने के लिए किया जा सकता है। ये पुस्तकालय जीएनयू जीपीएल संस्करण 2 के अंतर्गत जारी किए गए हैं। विशेष रूप से, वे निम्नलिखित हैं:
: यूजरस्पेस से कनेक्शन ट्रैकिंग प्रविष्टियों में हेरफेर की अनुमति देता है; पर आधारित <code>libnfnetlink</code>
; <code>लिबनेट निस्यंदन_queue</code>
; <code>libnetfilter_log</code>
: आईपी तालिका के साथ संयोजन के रूप में उपयोक्ता स्थान वेष्टक पंक्तिबद्ध करने की अनुमति प्रदान करता है; <code>लिब एनएफ नेटलिंक</code> पर आधारित है।
: iptables द्वारा उत्पन्न लॉग संदेशों के संग्रह की अनुमति देता है; पर आधारित <code>libnfnetlink</code>
; <code>लिबनेटनिस्यंदन_conntrack</code>
; <code>libnl-3-netfilter</code>
: उपयोक्‍ता समष्टि से संयोजन अनुसरण प्रविष्टियों में प्रकलन की अनुमति प्रदान करता है; <code>लिब एनएफ नेटलिंक</code> पर आधारित है।
: कतारों, कनेक्शन ट्रैकिंग और लॉग पर संचालन की अनुमति देता है; का हिस्सा <code>libnl</code> परियोजना<ref>{{cite web
; <code>लिबनेटनिस्यंदन_log</code>
: आईपी तालिका द्वारा उत्पन्न लॉग संदेशों के संग्रह की अनुमति प्रदान करता है; <code>लिब एनएफ नेटलिंक</code> पर आधारित है।
; <code>लिबएनएल-3-नेटनिस्यंदन</code>
: पंक्तियों, संयोजन अनुसरण और लॉग पर संचालन की अनुमति प्रदान करता है; <code>लिबएनएल</code> परियोजना का भाग है।<ref>{{cite web
  | url        = https://www.infradead.org/~tgr/libnl/doc/api/group__nfnl.html
  | url        = https://www.infradead.org/~tgr/libnl/doc/api/group__nfnl.html
  | title      = Netfilter Library (libnl-nf)
  | title      = Netfilter Library (libnl-nf)
Line 190: Line 192:
  | access-date = 2013-12-28
  | access-date = 2013-12-28
  | publisher  = infradead.org}}</ref>
  | publisher  = infradead.org}}</ref>
; <code>libiptc</code>
; <code>लिबआईपीटीसी</code>
: iptables फ़ायरवॉल नियमसेट में परिवर्तन करने की अनुमति देता है; यह किसी पर आधारित नहीं है <code>[[netlink]]</code> पुस्तकालय, और इसका [[एपीआई]] आंतरिक रूप से उपयोग किया जाता है <code>iptables</code> उपयोगिताओं
: आईपी तालिका सुरक्षा भित्ति नियम समूह में परिवर्तन करने की अनुमति प्रदान करता है; यह किसी <code>[[netlink|नेटलिंक]]</code> पुस्तकालय पर आधारित नहीं है और इसका [[एपीआई]] आंतरिक रूप से <code>आईपी तालिका</code> उपयोगिताओं द्वारा उपयोग किया जाता है।
; <code>libipset</code>
; <code>लिबआईपी समूह</code>
: आईपी सेट पर संचालन की अनुमति देता है; पर आधारित <code>libmnl</code>.
: आईपी समूह पर संचालन की अनुमति प्रदान करता है; <code>लिबएमएनएल</code> पर आधारित है।


== नेटफिल्टर वर्कशॉप ==
== नेटफिल्टर वर्कशॉप ==
नेटफिल्टर प्रोजेक्ट डेवलपर्स के लिए एक वार्षिक बैठक आयोजित करता है, जिसका उपयोग चल रहे अनुसंधान और विकास प्रयासों पर चर्चा करने के लिए किया जाता है। 2018 नेटफिल्टर कार्यशाला जून 2018 में बर्लिन, जर्मनी में हुई।<ref>{{cite web
नेटफिल्टर परियोजना विकासक के लिए एक वार्षिक बैठक आयोजित करता है, जिसका उपयोग चल रहे अनुसंधान और विकास प्रयासों पर चर्चा करने के लिए किया जाता है। 2018, नेटफिल्टर कार्यशाला जून 2018 में बर्लिन, जर्मनी में हुई।<ref>{{cite web
  | url          = https://workshop.netfilter.org/2018/|title=14th Netfilter Workshop
  | url          = https://workshop.netfilter.org/2018/|title=14th Netfilter Workshop
  | date        = 2018-09-26
  | date        = 2018-09-26
Line 206: Line 208:
{{Portal|Free and open-source software|Linux}}
{{Portal|Free and open-source software|Linux}}
{{Div col|colwidth=25em}}
{{Div col|colwidth=25em}}
* [[बर्कले पैकेट फ़िल्टर]]
* [[बर्कले वेष्टक निस्यंदन]]
* ओपन सोर्स लाइसेंस मुकदमेबाजी #Geniatech v. McHardy_(2018)|Geniatech v. McHardy (2018) मुकदमा
* जेनीटेक बनाम मैकहार्डी (2018) अभियोग
* [[आईपी ​​​​वर्चुअल सर्वर]] (आईपीवीएस, एलवीएस का हिस्सा)
* [[आईपी वास्तविक परिवेषक]] (आईपीवीएस, एलवीएस का भाग)
* ipchains, [[iptables]] का पूर्ववर्ती
* आईपी ​​​​श्रृंखला, आईपी तालिका के पूर्ववर्ती
* आईपीफ़ायरवॉल
* आईपी ​एफडब्ल्यू
* [[लिनक्स वर्चुअल सर्वर]] (LVS)
* [[लिनक्स वास्तविक परिवेषक]] (एलवीएस)
* [[नेटलिंक]], नेटफिल्टर एक्सटेंशन द्वारा उपयोग किया जाने वाला एपीआई
* [[नेटलिंक]], नेटफिल्टर विस्तारण द्वारा उपयोग किया जाने वाला एपीआई
* [[ नेटवर्क अनुसूचक ]], नेटवर्क स्टैक का एक अन्य निम्न-स्तरीय घटक
* [[ जालक्रम अनुसूचक ]], जालक्रम चित्ति का एक अन्य निम्न-स्तरीय घटक
* एन[[पीएफ (फ़ायरवॉल)]]
* एन[[पीएफ (सुरक्षा भित्ति)]]
* पीएफ (फ़ायरवॉल)
* पीएफ (सुरक्षा भित्ति)
* सीधी फ़ायरवॉल
* सरल सुरक्षा भित्ति
{{div col end}}
{{div col end}}


Line 226: Line 228:
* {{Official website|https://netfilter.org/}}
* {{Official website|https://netfilter.org/}}
* [https://netfilter.org/projects/conntrack-tools/ conntrack-tools homepage]
* [https://netfilter.org/projects/conntrack-tools/ conntrack-tools homepage]
* [http://ipset.netfilter.org/ ipset homepage]
* [http://ipset.netfilter.org/ आईपी समूह homepage]
* [https://netfilter.org/projects/ulogd/ ulogd homepage]
* [https://netfilter.org/projects/ulogd/ यूलॉगड homepage]
* [https://workshop.netfilter.org/ Home of the Netfilter Workshop websites]
* [https://workshop.netfilter.org/ Home of the Netनिस्यंदन Workshop websites]
* "[https://inai.de/documents/Netfilter_Modules.pdf Writing Netfilter Modules]" (e-book; 2009)
* "[https://inai.de/documents/Netfilter_Modules.pdf Writing Netनिस्यंदन Modules]" (e-book; 2009)
* "[https://www.zdnet.com/news/netfilter-and-iptables-stateful-firewalling-for-linux/296775 Netfilter and Iptables &mdash; Stateful Firewalling for Linux]" (11 October 2001)
* "[https://www.zdnet.com/news/netfilter-and-iptables-stateful-firewalling-for-linux/296775 Netनिस्यंदन and आईपी तालिका &mdash; Stateful Firewalling for लिनक्स]" (11 October 2001)
* [https://web.archive.org/web/20121019131903/http://www.linuxfoundation.org/collaborate/workgroups/networking/networkoverview Network overview by Rami Rosen]
* [https://web.archive.org/web/20121019131903/http://www.linuxfoundation.org/collaborate/workgroups/networking/networkoverview Network overview by Rami Rosen]
{{Firewall software}}
{{Firewall software}}

Revision as of 17:22, 24 May 2023

Netfilter
Stable release
Script error: The module returned a nil value. It is supposed to return an export table. / Script error: The module returned a nil value. It is supposed to return an export table.; Error: first parameter cannot be parsed as a date or time. (Script error: The module returned a nil value. It is supposed to return an export table.)
Written inC
Operating systemLinux
Type
LicenseGNU GPL
Websitenetfilter.org

नेटफिल्टर लिनक्स कर्नेल द्वारा प्रदान किया गया एक प्राधार है जो विभिन्न संगणक संजाल से संबंधित संचालन को अनुकूलित प्रबंधकर्ता के रूप में कार्यान्वित करने की अनुमति प्रदान करता है। नेटफिल्टर वेष्टक निस्यंदन, जालक्रम पता अनुवाद और पत्तन अनुवाद के लिए विभिन्न कार्य और संचालन प्रदान करता है, जो एक जालक्रम और अभिनिषेध वेष्टक के माध्यम से वेष्टक को एक जालक्रम के भीतर संवेदनशील स्थानों तक पहुँचने के लिए आवश्यक कार्यक्षमता प्रदान करता है।

नेटफिल्टर लिनक्स कर्नेल के भीतर अंकुश के एक समूह का प्रतिनिधित्व करता है, विशिष्ट कर्नेल मापांक को कर्नेल के जालक्रम चित्ति के साथ कॉलबैक (अभिकलित्र प्रोग्रामिंग) कार्यों को पंजीकृत करने की अनुमति प्रदान करता है। उन कार्यों, जो सामान्यतः निस्यंदन और संशोधन नियमों के रूप में परियात पर अनुप्रयुक्त होते हैं, को प्रत्येक उस वेष्टक के लिए कहा जाता है जो जालक्रम चित्ति के भीतर संबंधित अंकुश को पार करता है।[1]


इतिहास

(कुछ) विभिन्न नेटफिल्टर घटकों का संबंध

रस्टी रसेल ने 1998 में नेटफिल्टर/आईपीतालिका्स परियोजना प्रारंभ किया; उन्होंने परियोजना के पूर्ववर्ती, आईपी ​​​​श्रृंखला को भी लिखा था। जैसे-जैसे परियोजना बढ़ी, उन्होंने 1999 में नेटफिल्टर कोर टीम (या बस कोरटेम) की स्थापना की। उनके द्वारा उत्पादित सॉफ्टवेयर (इसके बाद नेटफिल्टर कहा जाता है) GNU जनरल पब्लिक लाइसेंस (GPL) लाइसेंस का उपयोग करता है, और मार्च 2000 में इसे संस्करण 2.4 में मिला दिया गया। लिनक्स कर्नेल मेनलाइन का x।

अगस्त 2003 में हेरोल्ड वेल्टे कोरटीम के अध्यक्ष बने। अप्रैल 2004 में, जीपीएल का पालन किए बिना राउटर (कंप्यूटिंग) में परियोजना के सॉफ़्टवेयर अंतः स्थापित प्रणाली को वितरित करने वालों पर परियोजना द्वारा कार्रवाई के बाद, जर्मनी की एक अदालत ने वेल्टे को साइटकॉम जर्मनी के विरुद्ध एक ऐतिहासिक निषेधाज्ञा दी, जिसने जीपीएल के नियमों का पालन करने से इनकार कर दिया। शर्तें (जीएनयू जनरल पब्लिक लाइसेंस#कानूनी स्थिति|जीपीएल से संबंधित विवाद देखें)। सितंबर 2007 में पैट्रिक मैकहार्डी, जिन्होंने पिछले वर्षों में विकास का नेतृत्व किया, को कोरटीम के नए अध्यक्ष के रूप में चुना गया।

आईपी तालिका से पहले, लिनक्स सुरक्षा भित्ति बनाने के लिए प्रमुख सॉफ़्टवेयर संवेष्टक लिनक्स कर्नेल 2.2.x में आईपी ​​​​श्रृंखला और लिनक्स कर्नेल 2.0.x में आईपीएफडब्ल्यूएडीएम थे, जो बदले में बर्कले सॉफ़्टवेयर वितरण के आईपीfirewall पर आधारित था। दोनों आईपी ​​​​श्रृंखला और आईपीएफडब्ल्यूएडीएम जालक्रम कोड को परिवर्तित करते हैं ताकि वे वेष्टकों में प्रकलन कर सकें, क्योंकि लिनक्स कर्नेल में नेटफिल्टर की प्रारंभ तक एक सामान्य वेष्टक नियंत्रण ढांचे की कमी थी।

जबकि आईपी ​​​​श्रृंखला और आईपीएफडब्ल्यूएडीएम वेष्टक निस्यंदन और एनएटी (विशेष रूप से तीन विशिष्ट प्रकार के एनएटी, जिसे स्वांग, पत्तन अग्रेषण और अनुप्रेषण कहा जाता है) को जोड़ती है, नेटफ़िल्टर नीचे वर्णित कई भागों में वेष्टक संचालन को अलग करता है। प्रत्येक वेष्टक तक पहुँचने के लिए अलग-अलग बिंदुओं पर नेटफिल्टर अंकुश से जुड़ता है। संयोजन अनुसरण और एनएटी उप प्रणाली आईपी ​​​​श्रृंखला और आईपीएफडब्ल्यूएडीएम के भीतर अल्पविकसित संस्करणों की तुलना में अधिक सामान्य और अधिक शक्तिशाली हैं।

2017 में आइपीवी4 और आइपीवी6 प्रवाह ऑफलोड आधारभूत संरचना को जोड़ा गया, जिससे सॉफ्टवेयर फ्लो तालिका अग्रेषण और हार्डवेयर ऑफलोड सपत्तन में तीव्रता आई।[2][3]


उपयोक्‍ता समष्टि उपयोगिता क्रमादेश

लीगेसी आईपी तालिका वेष्टक निस्यंदन के साथ नेटफिल्टर के माध्यम से जालक्रम वेष्टक का प्रवाह

* iptables(8)

आईपी तालिका

Main article: आईपी तालिका

कर्नेल मापांक नामित ip_tables, ip6_tables, arp_tables (अधोरेखांकन नाम का भाग है), और ebtables नेटफिल्टर अंकुश प्रणाली के लीगेसी वेष्टक निस्यंदन भाग को सम्मिलित करें। वे सुरक्षा भित्ति नियमों को परिभाषित करने के लिए एक तालिका-आधारित प्रणाली प्रदान करते हैं जो वेष्टकों को निस्यंदन या रूपांतरित कर सकते हैं। तालिकाओं को उपयोगकर्ता-समष्टि उपकरण के माध्यम से प्रशासित किया जा सकता है आईपी तालिका, ip6tables, arptables, और ebtables. ध्यान दें कि हालांकि दोनों कर्नेल मापांक और उपयोक्‍ता समष्टि उपयोगिता के नाम समान हैं, उनमें से प्रत्येक अलग कार्यक्षमता के साथ एक अलग इकाई है।

प्रत्येक तालिका वास्तव में अपना स्वयं का अंकुश है, और प्रत्येक तालिका को एक विशिष्ट उद्देश्य की पूर्ति के लिए प्रस्तुत किया गया था। जहाँ तक नेटफिल्टर का संबंध है, यह अन्य तालिकाओं के संबंध में एक विशेष तालिका को एक विशिष्ट क्रम में चलाता है। कोई भी तालिका स्वयं को कॉल कर सकती है और यह अपने नियमों को भी निष्पादित कर सकती है, जो अतिरिक्त प्रसंस्करण और पुनरावृत्ति की संभावनाओं को सक्षम करती है।

नियमों को श्रृंखलाओं में, या दूसरे शब्दों में, नियमों की श्रृंखलाओं में व्यवस्थित किया जाता है। इन श्रृंखलाओं को पूर्वनिर्धारित शीर्षकों के साथ नामित किया गया है, जिनमें सम्मिलित हैं INPUT, आउटपुट और FORWARD. ये श्रृंखला टाइटल नेटफिल्टर चित्ति में उत्पत्ति का वर्णन करने में सहायता करते हैं। वेष्टक अभिग्रहण, उदाहरण के लिए, में पड़ता है PREROUTING, जब INPUT स्थानीय रूप से वितरित डेटा का प्रतिनिधित्व करता है, और अग्रेषित परियात इसके अंतर्गत आता है FORWARD श्रृंखला। स्थानीय रूप से उत्पन्न आउटपुट से होकर गुजरता है आउटपुट श्रृंखला, और भेजे जाने वाले वेष्टक भीतर हैं POSTROUTING श्रृंखला।

नेटफिल्टर मापांक तालिका में व्यवस्थित नहीं हैं (नीचे देखें) अपने संचालन के तरीके का चयन करने के लिए मूल की जांच करने में सक्षम हैं।

आईपी तालिका_raw मापांक
लोड होने पर, एक अंकुश पंजीकृत करता है जिसे किसी अन्य नेटफिल्टर अंकुश से पहले कॉल किया जाएगा। यह रॉ नामक एक तालिका प्रदान करता है जिसका उपयोग वेष्टक को फ़िल्टर करने के लिए किया जा सकता है, इससे पहले कि वे अधिक मेमोरी-मांग संचालन जैसे संयोजन अनुसरण तक पहुँचें।
आईपी तालिका_mangle मापांक
संयोजन अनुसरण (नीचे देखें) के बाद चलाने के लिए एक अंकुश और मैंगल तालिका पंजीकृत करता है (परन्तु फिर भी किसी अन्य तालिका से पहले), ताकि वेष्टक में संशोधन किया जा सके। यह पालन करने वाले नियमों द्वारा अतिरिक्त संशोधनों को सक्षम करता है, जैसे NAT या आगे निस्यंदन।
आईपी तालिका_nat मापांक
दो अंकुश पंजीकृत करता है: गंतव्य जालक्रम पता अनुवाद-आधारित परिवर्तन (DNAT) निस्यंदन अंकुश से पहले अनुप्रयुक्त होते हैं, स्त्रोत जालक्रम पता अनुवाद-आधारित परिवर्तन (SNAT) बाद में अनुप्रयुक्त होते हैं। जालक्रम पता अनुवाद तालिका (या nat ) जोआईपी तालिका को उपलब्ध कराया जाता है, केवल जालक्रम पता अनुवाद प्रतिचित्रिण के लिए एक संरूपण आंकड़ाकोष है, और किसी भी तरह के निस्यंदन के लिए अभिप्रेत नहीं है।
आईपी तालिका_निस्यंदन मापांक
निस्यंदन तालिका को पंजीकृत करता है, जिसका उपयोग सामान्य-उद्देश्य निस्यंदन (सुरक्षा भित्ति) के लिए किया जाता है।
सुरक्षा_निस्यंदन मापांक
अनिवार्य अभिगम नियंत्रण (MAC) जालक्रम नियमों के लिए उपयोग किया जाता है, जैसे कि द्वारा सक्षम सेकमार्क और कॉनसेकमार्क लक्ष्य। (ये तथाकथित लक्ष्य सुरक्षा-संवर्धित लिनक्स मार्करों को संदर्भित करते हैं।) अनिवार्य अभिगम नियंत्रण लिनक्स सुरक्षा मापांक जैसे SEलिनक्स द्वारा कार्यान्वित किया जाता है। निस्यंदन तालिका के कॉल के बाद सुरक्षा तालिका को कॉल किया जाता है, निस्यंदन तालिका में किसी भी विवेकाधीन अभिगम नियंत्रण (DAC) नियमों को किसी भी MAC नियमों से पहले प्रभावी होने की अनुमति प्रदान करता है। यह तालिका निम्नलिखित बिल्ट-इन श्रृंखला प्रदान करती है: INPUT (अभिकलित्र में ही आने वाले वेष्टक के लिए), आउटपुट (रूटिंग से पहले स्थानीय रूप से उत्पन्न वेष्टक को परिवर्तित करने के लिए), और FORWARD (अभिकलित्र के माध्यम से रूट किए जा रहे वेष्टकों को परिवर्तित करने के लिए)।

एनएफ tables

Main article: nftables

एनएफ तालिका नेटफिल्टर का नया वेष्टक-निस्यंदन भाग है। एनएफटी नई उपयोक्‍ता समष्टि उपयोगिता है जो प्रतिस्थापित करती है आईपी तालिका, ip6tables, arptables और ebtables.

एनएफ तालिका कर्नेल इंजन लिनक्स कर्नेल में एक साधारण आभासी यन्त्र जोड़ता है, जो एक जालक्रम वेष्टक का निरीक्षण करने के लिए बायटेकोड को निष्पादित करने में सक्षम है और यह निर्णय लेता है कि उस वेष्टक को कैसे संभाला जाना चाहिए। इस अंतरापृष्ठ यन्त्र द्वारा क्रियान्वित किए गए संचालन को जानबूझकर बुनियादी बनाया गया है: यह वेष्टक से ही डेटा प्राप्त कर सकता है, संबद्ध मेटाडेटा (उदाहरण के लिए भीतर का अंतरापृष्ठ) पर एक नज़र डाल सकता है, और संयोजन अनुसरण डेटा का प्रबंधन कर सकता है। उस डेटा के आधार पर निर्णय लेने के लिए अंकगणित, बिटवाइज़ और तुलना ऑपरेटरों का उपयोग किया जा सकता है। अंतरापृष्ठ यन्त्र डेटा के समूह (सामान्यतः आईपी पते) में प्रकलन करने में भी सक्षम है, जिससे कई तुलना संचालन को एकल समूह लुकअप से परिवर्तित किया जा सकता है।[4] यह लीगेसी Xtables (आईपी तालिका, आदि) कोड के विपरीत है, जिसमें विज्ञप्ति जागरूकता कोड में इतनी गहराई से अंतर्निहित है कि इसे चार बार दोहराया जाना है‍—‌आइपीवी4, आइपीवी6, ARP और ईथरनेट ब्रिजिंग के लिए‍—‌क्योंकि सुरक्षा भित्ति इंजन सामान्य तरीके से उपयोग किए जाने के लिए बहुत अधिक विज्ञप्ति-विशिष्ट हैं।[4]मुख्य लाभ खत्म आईपी तालिका लिनक्स कर्नेल अनुप्रयोग बाइनरी इंटरफ़ेस का सरलीकरण, डुप्लिकेट कोड में कमी, त्रुटि संदेश में सुधार, और अधिक कुशल निष्पादन, भंडारण, और वृद्धिशील, निस्यंदन नियमों में एटोमिकिटी_(डेटाबेस_प्रणाली) परिवर्तन हैं।

वेष्टक डीफ़्रेग्मेंटेशन

See also: IP fragmentation

एनएफ_defrag_आइपीवी4 ई> मापांक आइपीवी4 वेष्टक्स को नेटफिल्टर के संयोजन अनुसरण ( एनएफ_कनेक्टट्रैक_आइपीवी4 मापांक)। यह इन-कर्नेल संयोजन अनुसरण और एनएटी हेल्पर मापांक (जो मिनी-आवेदन स्तर का प्रवेश द्वार का एक रूप है) के लिए आवश्यक है जो केवल पूरे वेष्टक पर मज़बूती से काम करते हैं, ज़रूरी नहीं कि फ़्रैगमेंट पर भी।

आइपीवी6 डीफ़्रेग्मेंटर अपने आप में एक मापांक नहीं है, बल्कि इसमें एकीकृत है एनएफ_कनेक्टट्रैक_आइपीवी6 मापांक।

संयोजन अनुसरण

See also: राजकीय वेष्टक निरीक्षण

संयोजन अनुसरण नेटफिल्टर ढांचे के शीर्ष पर निर्मित महत्वपूर्ण विशेषताओं में से एक है।[5] संयोजन अनुसरण कर्नेल को सभी तार्किक जालक्रम संयोजन या सत्र (अभिकलित्र विज्ञान) का ट्रैक रखने की अनुमति देती है, और इस तरह उन सभी वेष्टकों से संबंधित होती है जो उस संयोजन को बना सकते हैं। NAT इसी तरह से सभी संबंधित वेष्टकों का अनुवाद करने के लिए इस जानकारी पर निर्भर करता है, और आईपी तालिका स्टेटफुल सुरक्षा भित्ति के रूप में कार्य करने के लिए इस जानकारी का उपयोग कर सकते हैं।

संयोजन स्थिति हालांकि किसी भी ऊपरी स्तर के राज्य से पूर्णतया से स्वतंत्र है, जैसे कि टीसीपी या एससीटीपी का राज्य। इसका एक कारण यह है कि जब केवल अग्रेषण वेष्टक, यानी कोई स्थानीय वितरण नहीं होता है, तो टीसीपी इंजन को जरूरी नहीं लगाया जा सकता है। यहां तक ​​कि उपयोगकर्ता डाटाग्राम विज्ञप्ति, आईपीसेक (एएच/ईएसपी), जेनेरिक रूटिंग इनकैप्सुलेशन और अन्य टनलिंग विज्ञप्ति जैसे संयोजन रहित-मोड प्रसारण में कम से कम एक छद्म संयोजन स्थिति है। ऐसे विज्ञप्ति के लिए अनुमानी प्रायः निष्क्रियता के लिए एक पूर्व निर्धारित टाइमआउट मान पर आधारित होता है, जिसकी समाप्ति के बाद नेटफिल्टर संयोजन हटा दिया जाता है।

प्रत्येक नेटफिल्टर संयोजन को विशिष्ट रूप से (लेयर-3 विज्ञप्ति, स्त्रोत पता, गंतव्य पता, लेयर-4 विज्ञप्ति, लेयर-4 की) टपल द्वारा पहचाना जाता है। परत-4 कुंजी परिवहन विज्ञप्ति पर निर्भर करती है; टीसीपी/यूडीपी के लिए यह पत्तन संख्या है, सुरंगों के लिए यह उनकी सुरंग आईडी हो सकती है, परन्तु अन्यथा केवल शून्य है, जैसे कि यह टपल का भाग नहीं था। सभी स्थितियों में टीसीपी पत्तन का निरीक्षण करने में सक्षम होने के लिए वेष्टक को अनिवार्य रूप से डी-खंडित किया जाएगा।

नेटफिल्टर संयोजन को उपयोक्ता समष्टि टूल के साथ जोड़-तोड़ किया जा सकता है कनेक्टट्रैक.

आईपी तालिका वेष्टक निस्यंदन नियमों को अधिक शक्तिशाली और प्रबंधित करने में आसान बनाने के लिए संयोजन की जानकारी जैसे राज्यों, स्थितियों और अधिक की जाँच का उपयोग कर सकते हैं। सबसे आम राज्य हैं:

NEW
एक नया संयोजन बनाने की कोशिश कर रहा है
ESTABLISHED
पहले से मौजूद संयोजन का भाग
RELATED
एक वेष्टक को सौंपा गया है जो एक नया संयोजन प्रारंभ कर रहा है और जिसकी अपेक्षा की गई है; उपरोक्त मिनी-एएलजी इन अपेक्षाओं को स्थापित करते हैं, उदाहरण के लिए, जब एनएफ_कनेक्टट्रैक_ftp मापांक एक संचिका अंतरण विज्ञप्ति देखता हैPASVआज्ञा
INVALID
वेष्टक को अमान्य वेष्टक पाया गया, उदा। यह टीसीपी संयोजन आरेख का पालन नहीं करेगा
UNTRACKED
एक विशेष स्थिति जो किसी विशेष वेष्टक के लिए संयोजन अनुसरण को बायपास करने के लिए व्यवस्थापक द्वारा निर्दिष्ट की जा सकती है (ऊपर कच्ची तालिका देखें)।

एक सामान्य उदाहरण यह होगा कि कनट्रैक उप प्रणाली जो पहला वेष्टक देखता है उसे नया वर्गीकृत किया जाएगा, उत्तर को वर्गीकृत किया जाएगा और एक इंटरनेट नियंत्रण संदेश विज्ञप्ति त्रुटि संबंधित होगी। एक ICMP त्रुटि वेष्टक जो किसी ज्ञात संयोजन से मेल नहीं खाता है, वह अमान्य होगा।

संयोजन अनुसरण सहायक

प्लगइन मापांक के उपयोग के माध्यम से, संयोजन अनुसरण को एप्लिकेशन-लेयर विज्ञप्ति का ज्ञान दिया जा सकता है और इस प्रकार यह समझा जा सकता है कि दो या दो से अधिक अलग-अलग संयोजन संबंधित हैं। उदाहरण के लिए, फाइल ट्रांसफर विज्ञप्ति विज्ञप्ति पर विचार करें। एक नियंत्रण संयोजन स्थापित किया जाता है, परन्तु जब भी डेटा स्थानांतरित किया जाता है, इसे स्थानांतरित करने के लिए एक अलग संयोजन स्थापित किया जाता है। जब एनएफ_कनेक्टट्रैक_ftp मापांक लोड किया गया है, तो FTP डेटा संयोजन के पहले वेष्टक को नए के बजाय संबंधित के रूप में वर्गीकृत किया जाएगा, क्योंकि यह तार्किक रूप से मौजूदा संयोजन का भाग है।

सहायक एक समय में केवल एक वेष्टक का निरीक्षण करते हैं, इसलिए यदि संयोजन अनुसरण के लिए महत्वपूर्ण जानकारी दो वेष्टकों में विभाजित है, या तो आईपी विखंडन या टीसीपी विभाजन के कारण, सहायक आवश्यक रूप से पैटर्न को पहचान नहीं पाएगा और इसलिए अपना ऑपरेशन नहीं करेगा। IP विखंडन को डीफ़्रेग्मेंटेशन की आवश्यकता वाले संयोजन अनुसरण उप प्रणाली से निपटा जाता है, हालाँकि TCP विभाजन को नियंत्रित नहीं किया जाता है। एफ़टीपी के मामले में, सेगमेंटेशन को समादेश जैसे समादेश के पास नहीं माना जाता है PASV मानक खंड आकार के साथ, इसलिए नेटफिल्टर में भी इसका निपटारा नहीं किया जाता है।

जालक्रम पता अनुवाद

Main article: जालक्रम पता अनुवाद

प्रत्येक संयोजन में मूल पतों और उत्तर पतों का एक समूह होता है, जो प्रारंभ में वही प्रारंभ करते हैं। नेटफिल्टर में एनएटी केवल उत्तर पते को बदलकर और जहां वांछित हो, पत्तन को बदलकर कार्यान्वित किया जाता है। जब वेष्टक प्राप्त होते हैं, तो उनके संयोजन टपल की तुलना रिप्लाई पता पेयर (और पत्तन्स) से भी की जाएगी। NAT के लिए खंड-मुक्त होना भी एक आवश्यकता है। (यदि आवश्यकता हो, आइपीवी4 वेष्टक को सामान्य, गैर-नेटफिल्टर, आइपीवी4 चित्ति द्वारा रीफ्रैगमेंट किया जा सकता है।)

एनएटी सहायक

संयोजन अनुसरण सहायक के समान, एनएटी सहायक एक वेष्टक निरीक्षण करेंगे और मूल पतों को आयभार में उत्तर पतों द्वारा प्रतिस्थापित करेंगे।

अग्रसर नेटफिल्टर परियोजनाएं

हालांकि कर्नेल मापांक नहीं है जो सीधे नेटफिल्टर सांकेतिक अंक का उपयोग करता है, नेटफिल्टर परियोजना कुछ और उल्लेखनीय सॉफ्टवेयर का आयोजन करता है।

कनेक्टट्रैक-साधन

कनेक्टट्रैक-साधन लिनक्स के लिए उपयोक्ता समष्टि साधन का एक समूह है जो प्रणाली प्रशासकों को संयोजन अनुसरण प्रविष्टियों और तालिकाओं के साथ अन्तःक्रिया करने की अनुमति प्रदान करता है। संवेष्टक में कनेक्टट्रैकड डेमॉन और समादेश पंक्ति अंतरापृष्ठ कनेक्टट्रैक सम्मिलित है। उपयोक्‍ता समष्टि डेमॉन कनेक्टट्रैकड का उपयोग उच्च उपलब्धता समूह-आधारित राजकीय सुरक्षा भित्ति को सक्षम करने और राजकीय सुरक्षा भित्ति के उपयोग के आँकड़े एकत्र करने के लिए उपयोग किया जा सकता है। समादेश पंक्ति अंतरापृष्ठ कनेक्टट्रैक अप्रचलित / प्रोक/नेट/ एनएफ_कनेक्टट्रैक की तुलना में संयोजन अनुसरण प्रणाली को अधिक नम्य अंतरापृष्ठ प्रदान करता है।

आईपीसमूह

संयोजन अनुसरण जैसे अन्य विस्तारण के विपरीत, आईपीसमूह [6] कोर नेटफिल्टर सांकेतिक अंक की तुलना में आईपीतालिका से अधिक संबंधित है। उदाहरण के लिए, आईपीसमूह नेटफिल्टर अंकुश का उपयोग नहीं करता है, परन्तु वास्तव में आईपी समूहों से मिलान करने और न्यूनतम संशोधन (समूह/स्पष्ट) करने के लिए एक आईपीतालिका मापांक प्रदान करता है।

आईपीसमूह नामक उपयोक्ता समष्टि साधन का उपयोग लिनक्स कर्नेल में तथाकथित "आईपी समूह" को स्थापित करने, बनाए रखने और निरीक्षण करने के लिए किया जाता है। एक आईपी समूह में सामान्यतः आईपी पतों का एक समूह होता है, परन्तु इसके "प्रकार" के आधार पर अन्य जालक्रम संख्याओं के समूह भी हो सकते हैं। ये समूह अरक्षित आईपीतालिका नियमों की तुलना में बहुत अधिक कुशल हैं, परन्तु निश्चित रूप से अधिक स्मृति पदचिह्न के साथ आ सकते हैं। उपयोगकर्ता के लिए इष्टतम समाधान चुनने के लिए विभिन्न भंडारण कलन विधि (मेमोरी में डेटा संरचनाओं के लिए) आईपीसमूह में प्रदान किए जाते हैं।

एक समूह में कोई भी प्रविष्टि दूसरे समूह से बंधी हो सकती है, जिससे परिष्कृत मिलान संचालन की अनुमति मिलती है। एक समूह को केवल तभी हटाया (नष्ट) किया जा सकता है जब कोई आईपी तालिका नियम या अन्य समूह इसका संदर्भ नहीं दे रहे हों।

एसवाईएन प्रॉक्सी

सिंप्रोक्सी लक्ष्य ऐसे स्थितियों में संयोजन अनुसरण द्वारा लगाए गए बड़े प्रदर्शन दंड के बिना बड़ी एसवाईएन बहुतायत से निपटना संभव बनाता है। सिंप्रोक्सी लक्ष्य के लिए प्रारंभिक एसवाईएन अनुरोधों को पुनर्निर्देशित करके, संयोजन अनुसरण के भीतर संयोजन तब तक पंजीकृत नहीं होते जब तक कि वे एक मान्य अंतिम एसीके स्थिति तक नहीं पहुंच जाते हैं, संभावित रूप से अमान्य संयोजनों की बड़ी संख्याओं को ध्यान में रखते हुए संयोजन अनुसरण को मुक्त कर देते हैं। इस तरह, विशाल एसवाईएन बहुतायत को प्रभावी तरीके से नियंत्रित किया जा सकता है।।[7]

3 नवंबर 2013 को, लिनक्स कर्नेल प्रमुख मार्ग के संस्करण 3.12 के विमोचन के साथ, एसवाईएन प्रॉक्सी कार्यक्षमता को नेटफिल्टर में विलय कर दिया गया था।[8][9]


यूलॉगड

यूलॉगड नेटफिल्टर उप-प्रणाली से वेष्टक और घटना सूचना प्राप्त करने और लॉग करने के लिए एक उपयोक्ता समष्टि डेमॉन है। आईपी_तालिका वेष्टको को उपयोक्‍ता समष्टि पंक्तियन क्रियाविधि के माध्यम से वितरित कर सकता हैं और संयोजन अनुसरण वेष्टक या घटनाओं (जैसे संयोजन टियरडाउन, एनएटी व्यवस्थापन) के विषय में और सूचना का आदान-प्रदान करने के लिए यूलॉगड के साथ अंत:क्रिया कर सकता है।

उपयोक्‍ता समष्टि पुस्तकालय

नेटफिल्टर पुस्तकालयों का एक समूह भी प्रदान करता है जिसमें उनके नाम के उपसर्ग के रूप में लिबनेट निस्यंदन होता है, जिनका उपयोग उपयोक्ता समष्टि से विभिन्न कार्यों को करने के लिए किया जा सकता है। ये पुस्तकालय जीएनयू जीपीएल संस्करण 2 के अंतर्गत जारी किए गए हैं। विशेष रूप से, वे निम्नलिखित हैं:

लिबनेट निस्यंदन_queue
आईपी तालिका के साथ संयोजन के रूप में उपयोक्ता स्थान वेष्टक पंक्तिबद्ध करने की अनुमति प्रदान करता है; लिब एनएफ नेटलिंक पर आधारित है।
लिबनेटनिस्यंदन_conntrack
उपयोक्‍ता समष्टि से संयोजन अनुसरण प्रविष्टियों में प्रकलन की अनुमति प्रदान करता है; लिब एनएफ नेटलिंक पर आधारित है।
लिबनेटनिस्यंदन_log
आईपी तालिका द्वारा उत्पन्न लॉग संदेशों के संग्रह की अनुमति प्रदान करता है; लिब एनएफ नेटलिंक पर आधारित है।
लिबएनएल-3-नेटनिस्यंदन
पंक्तियों, संयोजन अनुसरण और लॉग पर संचालन की अनुमति प्रदान करता है; लिबएनएल परियोजना का भाग है।[10]
लिबआईपीटीसी
आईपी तालिका सुरक्षा भित्ति नियम समूह में परिवर्तन करने की अनुमति प्रदान करता है; यह किसी नेटलिंक पुस्तकालय पर आधारित नहीं है और इसका एपीआई आंतरिक रूप से आईपी तालिका उपयोगिताओं द्वारा उपयोग किया जाता है।
लिबआईपी समूह
आईपी समूह पर संचालन की अनुमति प्रदान करता है; लिबएमएनएल पर आधारित है।

नेटफिल्टर वर्कशॉप

नेटफिल्टर परियोजना विकासक के लिए एक वार्षिक बैठक आयोजित करता है, जिसका उपयोग चल रहे अनुसंधान और विकास प्रयासों पर चर्चा करने के लिए किया जाता है। 2018, नेटफिल्टर कार्यशाला जून 2018 में बर्लिन, जर्मनी में हुई।[11]


यह भी देखें

संदर्भ

  1. "netfilter/iptables project homepage - The netfilter.org project". netfilter.org. Retrieved 2014-07-04.
  2. "Flow offload infrastructure". LWN.net.
  3. "Flow offload infrastructure". LWN.net.
  4. 4.0 4.1 Jonathan Corbet (2013-08-20). "The return of nftables". LWN.net. Retrieved 2013-10-22.
  5. Neira Ayuso, Pablo (14 June 2006). "Netfilter's Connection Tracking System" (PDF).
  6. "IP sets". ipset.netfilter.org. Retrieved 2014-07-04.
  7. Patrick McHardy (2013-08-07). "netfilter: implement netfilter SYN proxy". LWN.net. Retrieved 2013-11-05.
  8. "netfilter: add SYNPROXY core/target". kernel.org. 2013-08-27. Retrieved 2013-11-05.
  9. "netfilter: add IPv6 SYNPROXY target". kernel.org. 2013-08-27. Retrieved 2013-11-05.
  10. "Netfilter Library (libnl-nf)". infradead.org. 2013-04-02. Retrieved 2013-12-28.
  11. "14th Netfilter Workshop". workshop.netfilter.org. 2018-09-26. Retrieved 2018-09-26.


बाहरी संबंध

Retrieved from ‘https://www.vigyanwiki.in/index.php?title=नेटफिल्टर&oldid=171107