nftables пакетен филтър версия 0.9.4

публикувани освобождаване на пакетния филтър nftables 0.9.4, разработва се като заместител на iptables, ip6table, arptables и ebtables чрез обединяване на интерфейси за филтриране на пакети за IPv4, IPv6, ARP и мрежови мостове. Пакетът nftables включва компоненти за филтриране на пакети, които работят в потребителското пространство, докато работата на ниво ядро ​​се осигурява от подсистемата nf_tables, която е част от ядрото на Linux от версия 3.13. Промените, необходими за работата на изданието nftables 0.9.4, са включени в бъдещия клон на ядрото Linux 5.6.

Нивото на ядрото предоставя само общ интерфейс, независим от протокола, който осигурява основни функции за извличане на данни от пакети, извършване на операции с данни и контрол на потока. Правилата за филтриране и манипулаторите, специфични за протокола, се компилират в байткод в потребителското пространство, след което този байткод се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в ядрото в специална виртуална машина, напомняща BPF (Berkeley Packet Filters). Този подход ви позволява значително да намалите размера на филтриращия код, работещ на ниво ядро, и да преместите всички функции на правилата за анализ и логиката за работа с протоколи в потребителското пространство.

Основни иновации:

• Поддръжка за диапазони във връзките (конкатенация, определени пакети от адреси и портове, които опростяват сравнението). Например, за набор „бял ​​списък“, чиито елементи са прикачен файл, указването на флага „интервал“ ще покаже, че наборът може да включва диапазони в прикачения файл (за прикачения файл „ipv4_addr. ipv4_addr. inet_service“ преди беше възможно да се изброят точно съответства на формата "192.168.10.35. 192.68.11.123", и сега можете да посочите групи от адреси "80-192.168.10.35-192.168.10.40"):

  таблица ip foo {
  задаване на бял списък {
  тип ipv4_addr. ipv4_addr. inet_service
  интервал на знамена
  елементи = {192.168.10.35-192.168.10.40. 192.68.11.123-192.168.11.125. 80}
  }

  верижен прът {
  тип филтър кука филтър с приоритет за предварително насочване; спад на политиката;
  ip saddr. ip daddr. tcp dport @whitelist приеме
  }
  }

• В набори и списъци с карти е възможно да се използва директивата „typeof“, която определя формата на елемента при съвпадение.
  Например:

  таблица ip foo {
  задаване на бял списък {
  typeof ip saddr
  елементи = {192.168.10.35, 192.168.10.101, 192.168.10.135}
  }

  верижен прът {
  тип филтър кука филтър с приоритет за предварително насочване; спад на политиката;
  ip daddr @whitelist приемам
  }
  }

  таблица ip foo {
  map addr2mark {
  typeof ip saddr : мета маркировка
  елементи = {192.168.10.35: 0x00000001, 192.168.10.135: 0x00000002}
  }
  }

• Добавена е възможност за използване на обединения в NAT свързвания, което ви позволява да посочите адрес и порт, когато дефинирате NAT трансформации въз основа на списъци с карти или наименувани набори:

  nft добавяне на правило ip nat pre dnat ip адрес. порт към ip saddr map { 1.1.1.1 : 2.2.2.2 . тридесет}

  nft добави карта ip nat дестинации { type ipv4_addr. inet_service: ipv4_addr. inet_service \\; }
  nft добавяне на правило ip nat pre dnat ip адрес. порт към ip saddr. tcp dport map @destinations

• Поддръжка за хардуерно ускорение с някои филтриращи операции, извършвани от мрежовата карта. Ускоряването се активира чрез помощната програма ethtool („ethtool -K eth0 hw-tc-offload on“), след което се активира в nftables за основната верига с помощта на флага „offload“. При използване на ядрото на Linux 5.6 се поддържа хардуерно ускорение за съвпадение на полето на заглавката и проверка на входящия интерфейс в комбинация с получаване, отхвърляне, дублиране (dup) и препращане (fwd) на пакети. В примера по-долу операциите по изхвърляне на пакети, идващи от адрес 192.168.30.20, се извършват на ниво мрежова карта, без пакетите да се предават на ядрото:

  # котешки файл.nft
  таблица netdev x {
  верига y {
  тип филтърна кука входно устройство eth0 приоритет 10; разтоварване на флагове;
  ip saddr 192.168.30.20 спад
  }
  }
  # nft -f файл.nft

• Подобрена информация за местоположението на грешка в правилата.

  # правило за изтриване на nft ip yz манипулатор 7
  Грешка: Не може да се обработи правило: Няма такъв файл или директория
  изтриване на правило ip yz манипулатор 7
  ^

  # правило за изтриване на nft ip xx манипулатор 7
  Грешка: Не може да се обработи правило: Няма такъв файл или директория
  изтриване на правило ip xx манипулатор 7
  ^

  # nft изтриване на таблица twst
  Грешка: Няма такъв файл или директория; имахте предвид таблица ‘test' в семейството ip?
  изтриване на таблица twst
  ^^^^

  Първият пример показва, че таблицата "y" не е в системата, вторият, че манипулаторът "7" липсва, а третият, че се показва подкана за печатна грешка при въвеждане на името на таблицата.

• Добавена е поддръжка за проверка на подчинения интерфейс чрез указване на „meta sdif“ или „meta sdifname“:

  ... meta sdifname vrf1 ...

• Добавена е поддръжка за дясно или ляво преместване. Например, за да преместите съществуващ пакетен етикет наляво с 1 бит и да зададете второстепенния бит на 1:

  ... мета маркировка, зададена мета маркировка lshift 1 или 0x1 ...

• Въведена е опция "-V" за показване на разширена информация за версията.

  # nft -V
  nftables v0.9.4 (Jive at Five)
  cli:readline
  json: да
  minigmp:не
  libxtables: да

• Опциите на командния ред сега трябва да бъдат посочени преди командите. Например, трябва да укажете „nft -a list ruleset“ и стартирането на „nft list ruleset -a“ ще доведе до грешка.

  Източник: opennet.ru