🥇Nftables Packet Filter 0.9.9 издание

Изданието на филтъра за пакети nftables 0.9.9 беше публикувано, обединявайки интерфейсите за филтриране на пакети за IPv4, IPv6, ARP и мрежови мостове (насочени към замяна на iptables, ip6table, arptables и ebtables). В същото време беше публикувана версията на придружаващата библиотека libnftnl 1.2.0, предоставяща API на ниско ниво за взаимодействие с подсистемата nf_tables. Промените, необходими за работа на изданието nftables 0.9.9, са включени в ядрото на Linux 5.13-rc1.

Пакетът nftables включва компоненти за филтър на пакети, които работят в потребителското пространство, докато нивото на ядрото се предоставя от подсистемата nf_tables, която е част от ядрото на Linux от версия 3.13. На ниво ядро се предоставя само общ интерфейс, независим от протокол, който предоставя основни функции за извличане на данни от пакети, извършване на операции с данни и контролиране на потока.

Самите правила за филтриране и специфичните за протокола манипулатори се компилират в байт код на потребителското пространство, след което този байт код се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в ядрото в специална виртуална машина, наподобяваща BPF (Berkeley Packet Filters). Този подход прави възможно значително намаляване на размера на филтриращия код, работещ на ниво ядро, и преместване на всички функции на правилата за анализ и логиката на работа с протоколи в потребителското пространство.

Основни иновации:

Възможността за преместване на обработката на таблицата на потока към страната на мрежовия адаптер е реализирана, активирана с помощта на флага „разтоварване“. Flowtable е механизъм за оптимизиране на пътя на пренасочване на пакети, при който пълното преминаване на всички вериги за обработка на правила се прилага само към първия пакет, а всички останали пакети в потока се препращат директно. table ip global { flowtable f { hook ingress priority filter + 1 devices = { lan3, lan0, wan } flags offload } chain forward { тип филтър hook forward приоритетен филтър; политика приема; ip протокол { tcp, udp } поток добавяне @f } верига публикация { тип nat hook postrouting приоритетен филтър; политика приема; oifname "wan" маскарад } }
Добавена е поддръжка за прикачване на флаг на собственик към таблица, за да се гарантира изключителното използване на таблицата от процес. Когато даден процес приключи, таблицата, свързана с него, се изтрива автоматично. Информацията за процеса се показва в дъмпа на правилата под формата на коментар: table ip x { # progname nft flags owner chain y { type filter hook input priority filter; политика приема; брояч на пакети 1 байта 309 } }
Добавена е поддръжка за спецификацията IEEE 802.1ad (VLAN stacking или QinQ), която дефинира средство за заместване на множество VLAN тагове в един Ethernet кадър. Например, за да проверите типа на външния Ethernet кадър 8021ad и vlan id=342, можете да използвате конструкцията ... ether type 802.1ad vlan id 342, за да проверите външния тип на Ethernet кадъра 8021ad/vlan id=1, вложен 802.1 q/vlan id=2 и допълнително капсулиране на IP пакети: ... тип ether 8021ad vlan id 1 vlan тип 8021q vlan id 2 vlan тип ip брояч
Добавена е поддръжка за управление на ресурси с помощта на унифицираната йерархия cgroups v2. Ключовата разлика между cgroups v2 и v1 е използването на обща йерархия на cgroups за всички видове ресурси, вместо отделни йерархии за разпределяне на CPU ресурси, за регулиране на потреблението на памет и за I/O. Например, за да проверите дали предшественикът на сокет на първо ниво cgroupv2 съвпада с маската „system.slice“, можете да използвате конструкцията: ... socket cgroupv2 ниво 1 „system.slice“
Добавена е възможност за проверка на компоненти на SCTP пакети (функционалността, необходима за това, ще се появи в ядрото на Linux 5.14). Например, за да проверите дали даден пакет съдържа част с тип „данни“ и поле „тип“: ... sctp chunk data exists ... sctp chunk data type 0
Изпълнението на операцията по зареждане на правилото е ускорено приблизително два пъти с помощта на флага „-f“. Извеждането на списъка с правила също е ускорено.
Осигурен е компактен формуляр за проверка дали са зададени флаг битове. Например, за да проверите дали битовете за състояние snat и dnat не са зададени, можете да посочите: ... ct status ! snat,dnat за проверка дали битът syn е зададен в битовата маска syn,ack: ... tcp флагове syn / syn,ack за проверка дали битовете fin и rst не са зададени в битовата маска syn,ack,fin,rst: ... tcp флагове ! = fin,rst / syn,ack,fin,rst
Разрешете ключовата дума "вердикт" в дефинициите на set/map typeof: add map xm { typeof iifname. ip протокол th dport : присъда ;}

Източник: opennet.ru

nftables пакетен филтър версия 0.9.9

Добавяне на нов коментар

nftables пакетен филтър версия 0.9.9

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар