🥇Nftables Packet Filter 0.9.3 издание

публикувани освобождаване на пакетния филтър nftables 0.9.3, разработен като заместител на iptables, ip6table, arptables и ebtables чрез обединяване на интерфейси за филтриране на пакети за IPv4, IPv6, ARP и мрежови мостове. Пакетът nftables включва компоненти за филтриране на пакети, които работят в потребителско пространство, докато работата на ниво ядро се осигурява от подсистемата nf_tables, която е част от ядрото на Linux от версия 3.13. Промените, необходими за работа на изданието nftables 0.9.3, са включени в предстоящия клон на ядрото на Linux 5.5.

Нивото на ядрото предоставя само общ интерфейс, независим от протокола, който осигурява основни функции за извличане на данни от пакети, извършване на операции с данни и контрол на потока. Самата логика на филтриране и специфичните за протокола манипулатори се компилират в байткод в потребителското пространство, след което този байткод се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в специална виртуална машина, напомняща на BPF (Berkeley Packet Filters). Този подход ви позволява значително да намалите размера на филтриращия код, работещ на ниво ядро, и да преместите всички функции на правилата за анализ и логиката за работа с протоколи в потребителското пространство.

Основни иновации:

Поддръжка за съвпадение на пакети по време. Можете да дефинирате както часове, така и периоди от дати, в които правилото ще се задейства, и да конфигурирате задействането в отделни дни от седмицата. Също така е добавена нова опция "-T" за показване на епохално време в секунди.
мета време \»2019-12-24 16:00\" — \»2020-01-02 7:00\"
мета час \"17:00\" - \"19:00\"
мета ден \"Пет\"
Поддръжка за възстановяване и запазване на SELinux маркировки (secmark).
ct secmark задайте мета secmark
meta secmark set ct secmark
Поддръжка за списъци с карти на синпрокси, което ви позволява да дефинирате повече от едно правило на бекенд.
таблица ip foo {
synproxy https-synproxy {
MSS 1460
wscale 7
клеймо за време sack-perm
}

синпрокси друг-синпрокси {
MSS 1460
wscale 5
}

верига преди {
тип филтър кука prerouting приоритет raw; политика приема;
tcp dport 8888 tcp флагове syn nottrack
}

верижен прът {
тип филтър кука напред приоритетен филтър; политика приема;
ct състояние невалидно, непроследено synproxy име ip saddr map { 192.168.1.0/24 : “https-synproxy”, 192.168.2.0/24 : “other-synproxy” }
}
}
Възможност за динамично премахване на зададени елементи от правилата за обработка на пакети.
nft добави правило ... изтрий @set5 { ip6 saddr. ip6 daddr}
Поддръжка за картографиране на VLAN чрез ID и протокол, дефинирани в метаданните на интерфейса на мрежовия мост;
мета ibrpvid 100
мета ibrvproto vlan
Опция "-t" ("--terse") за изключване на елементи от набори от набори при показване на правила. Изпълнението на "nft -t list ruleset" ще изведе:
таблица ip x {
задайте y {
тип ipv4_addr
}
}

И с „nft list ruleset“

таблица ip x {
задайте y {
тип ipv4_addr
елементи = {192.168.10.2, 192.168.20.1,
192.168.4.4, 192.168.2.34 }
}
}
Възможност за указване на повече от едно устройство във вериги netdev (работи само с ядро 5.5) за комбиниране на общи правила за филтриране.
добавете таблица netdev x
добавете верига netdev xy { \
тип филтър кука входни устройства = {eth0, eth1} приоритет 0;
}
Възможност за добавяне на описания на типове данни.
# nft описва ipv4_addr
тип данни ipv4_addr (IPv4 адрес) (базов тип цяло число), 32 бита
Възможност за изграждане на CLI интерфейс с библиотеката linenoise вместо libreadline.
./configure --with-cli=linenoise

Източник: opennet.ru

nftables пакетен филтър версия 0.9.3

Добавяне на нов коментар

nftables пакетен филтър версия 0.9.3

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар