🥇Nftables Packet Filter 0.9.1 издание

След година на развитие представени освобождаване на пакетния филтър nftables 0.9.1, разработва се като заместител на iptables, ip6table, arptables и ebtables чрез обединяване на интерфейси за филтриране на пакети за IPv4, IPv6, ARP и мрежови мостове. Пакетът nftables включва компоненти за филтриране на пакети, които работят в потребителското пространство, докато работата на ниво ядро се осигурява от подсистемата nf_tables, която е част от ядрото на Linux от версия 3.13.

Нивото на ядрото предоставя само общ интерфейс, независим от протокола, който осигурява основни функции за извличане на данни от пакети, извършване на операции с данни и контрол на потока.
Самата логика на филтриране и специфичните за протокола манипулатори се компилират в байткод в потребителското пространство, след което този байткод се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в специална виртуална машина, напомняща на BPF (Berkeley Packet Filters). Този подход ви позволява значително да намалите размера на филтриращия код, работещ на ниво ядро, и да преместите всички функции на правилата за анализ и логиката за работа с протоколи в потребителското пространство.

Основни иновации:

Поддръжка на IPsec, позволяваща съпоставяне на тунелни адреси въз основа на пакет, ID на IPsec заявка и SPI (Индекс на параметъра за сигурност) таг. Например,
... ipsec в ip saddr 192.168.1.0/24
... ipsec в spi 1-65536

Също така е възможно да се провери дали даден маршрут минава през IPsec тунел. Например, за да блокирате трафик не чрез IPSec:

… филтърен изход rt ipsec липсваща капка
Поддръжка на IGMP (Internet Group Management Protocol). Например, можете да използвате правило за отхвърляне на входящи заявки за членство в IGMP група
nft добавяне на правило netdev foo bar igmp type membership-query counter drop
Възможност за използване на променливи за дефиниране на преходни вериги (jump / goto). Например:
дефинирайте dest = ber
добавете правило ip foo bar jump $dest
Поддръжка на маски за идентифициране на операционни системи (OS Fingerprint) въз основа на TTL стойности в заглавката. Например, за да маркирате пакети въз основа на ОС изпращач, можете да използвате командата:
... meta mark set osf ttl skip name map { "Linux" : 0x1,
"Windows": 0x2,
"MacOS": 0x3,
"неизвестен": 0x0}
... osf ttl пропуснете версия "Linux:4.20"
Възможност за съвпадение на ARP адреса на подателя и IPv4 адреса на целевата система. Например, за да увеличите брояча на ARP пакети, изпратени от адрес 192.168.2.1, можете да използвате следното правило:
таблица arp x {
верига y {
тип филтър кука входен приоритет филтър; политика приема;
arp saddr ip 192.168.2.1 брояч на пакети 1 байта 46
}
}
Поддръжка за прозрачно пренасочване на заявки през прокси (tproxy). Например, за да пренасочите повиквания към порт 80 към прокси порт 8080:
таблица ip x {
верига y {
тип филтър кука приоритет на предварителното маршрутизиране -150; политика приема;
tcp dport 80 tпрокси към :8080
}
}
Поддръжка за маркиране на гнезда с възможност за допълнително получаване на зададената маркировка чрез setsockopt() в режим SO_MARK. Например:
таблица inet x {
верига y {
тип филтър кука приоритет на предварителното маршрутизиране -150; политика приема;
tcp dport 8080 маркировка задаване на маркировка на сокет
}
}
Поддръжка за определяне на приоритетни текстови имена за вериги. Например:
nft add chain ip x raw { type filter hook prerouting priority raw; }
nft добавете верига ip x филтър { тип филтър кука приоритетен филтър за премаршрутиране; }
nft добавете верига ip x filter_later { type filter hook prerouting priority filter + 10; }
Поддръжка на SELinux тагове (Secmark). Например, за да дефинирате тага "sshtag" в контекст на SELinux, можете да изпълните:
nft добави secmark inet филтър sshtag "system_u:object_r:ssh_server_packet_t:s0"

И след това използвайте този етикет в правилата:

nft добавяне на правило inet филтър input tcp dport 22 meta secmark set “sshtag”

nft добави карта inet filter secmapping { type inet_service : secmark; }
nft добавете елемент inet filter secmapping { 22 : "sshtag" }
nft добавяне на правило inet филтър input meta secmark set tcp dport map @secmapping
Възможност за указване на портове, присвоени на протоколи в текстова форма, както са дефинирани във файла /etc/services. Например:
nft добави правило xy tcp dport "ssh"
набор от правила за списък на nft -l
таблица x {
верига y {
...
tcp dport "ssh"
}
}
Възможност за проверка на вида на мрежовия интерфейс. Например:
добавете правило inet raw prerouting meta iifkind "vrf" accept
Подобрена поддръжка за динамично актуализиране на съдържанието на набори чрез изрично указване на флага „динамичен“. Например, за да актуализирате набора "s", за да добавите адреса на източника и да нулирате записа, ако няма пакети за 30 секунди:
добавете таблица x
add set xs { type ipv4_addr; размер 128; таймаут 30s; флагове динамични; }
добавете верига xy { тип филтър кука входен приоритет 0; }
добавете правило xy актуализация @s { ip saddr }
Възможност за задаване на отделно условие за изчакване. Например, за да замените времето за изчакване по подразбиране за пакети, пристигащи на порт 8888, можете да посочите:
таблица IP филтър {
ct timeout aggressive-tcp {
протокол tcp;
l3proto ip;
политика = {установено: 100, close_wait: 4, затваряне: 4}
}
верижен изход {
...
tcp dport 8888 ct изчакване зададено "aggressive-tcp"
}
}
NAT поддръжка за inet семейство:
таблица inet nat {
...
ip6 daddr мъртъв::2::1 dnat към мъртъв:2::99
}
Подобрено отчитане на печатни грешки:
nft добавя тест за верижен филтър

Грешка: Няма такъв файл или директория; имахте предвид „филтър“ на таблицата в семейството ip?
добавете тест за верижен филтър
^^^^^^
Възможност за указване на имена на интерфейси в набори:
set sc {
тип inet_service. ifname
елементи = { "ssh" . "eth0"}
}
Актуализиран синтаксис на правилата на таблицата с потокове:
nft добави таблица x
nft add flowtable x ft {hook ingress priority 0; устройства = {eth0, wlan0}; }
...
nft добавяне на правило x пренасочване на ip протокол {tcp, udp} поток добавяне на @ft
Подобрена поддръжка на JSON.

Източник: opennet.ru

nftables пакетен филтър версия 0.9.1

Добавяне на нов коментар

nftables пакетен филтър версия 0.9.1

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар