nftables пакетен филтър версия 1.0.0

Изданието на филтъра за пакети nftables 1.0.0 беше публикувано, обединявайки интерфейсите за филтриране на пакети за IPv4, IPv6, ARP и мрежови мостове (насочени към замяна на iptables, ip6table, arptables и ebtables). Промените, необходими за работа на изданието nftables 1.0.0, са включени в ядрото на Linux 5.13. Значителна промяна в номера на версията не е свързана с никакви фундаментални промени, а е само следствие от последователното продължаване на номерирането в десетична система (предишната версия беше 0.9.9).

Пакетът nftables включва компоненти за филтър на пакети, които работят в потребителското пространство, докато нивото на ядрото се предоставя от подсистемата nf_tables, която е част от ядрото на Linux от версия 3.13. На ниво ядро ​​се предоставя само общ интерфейс, независим от протокол, който предоставя основни функции за извличане на данни от пакети, извършване на операции с данни и контролиране на потока.

Самите правила за филтриране и специфичните за протокола манипулатори се компилират в байт код на потребителското пространство, след което този байт код се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в ядрото в специална виртуална машина, наподобяваща BPF (Berkeley Packet Filters). Този подход прави възможно значително намаляване на размера на филтриращия код, работещ на ниво ядро, и преместване на всички функции на правилата за анализ и логиката на работа с протоколи в потребителското пространство.

Основни иновации:

• Към списъците с набори е добавена поддръжка за маскиращия елемент „*“, който се задейства за всички пакети, които не попадат в други елементи, дефинирани в набора. таблица x { map blocklist { type ipv4_addr : verdict flags interval elements = { 192.168.0.0/16 : accept, 10.0.0.0/8 : accept, * : drop } } chain y { type filter hook prerouting priority 0; политика приема; ip saddr vmap @blocklist } }
• Възможно е да дефинирате променливи от командния ред, като използвате опцията „--define“. # cat test.nft table netdev x { chain y { type filter hook ingress devices = $dev priority 0; спад на политиката; } } # nft —define dev="{ eth0, eth1 }" -f test.nft
• В списъците с карти е позволено използването на постоянни (състояние) изрази: table inet filter { map portmap { type inet_service : verdict counter elements = { 22 counter packets 0 bytes 0 : jump ssh_input, * counter packets 0 bytes 0 : drop } } верига ssh_input { } верига wan_input { tcp dport vmap @portmap } верига prerouting { type filter hook prerouting priority raw; политика приема; iif vmap { "lo": скок wan_input } } }
• Добавена е команда "list hooks" за показване на списък с манипулатори за дадено семейство пакети: # nft list hooks ip device eth0 family ip { hook ingress { +0000000010 chain netdev xy [nf_tables] +0000000300 chain inet mw [nf_tables] } hook input { -0000000100 верига ip ab [nf_tables] +0000000300 верига inet mz [nf_tables] } кука напред { -0000000225 selinux_ipv4_forward 0000000000 верига ip ac [nf_tables] } кука изход { -0000000225 selinux_ipv4_ изход } hook postrouting { +0000000225 4 selinux_ipvXNUMX_postroute } }
• Блоковете на опашките позволяват изразите jhash, symhash и numgen да бъдат комбинирани, за да се разпределят пакети в опашки в потребителското пространство. … опашка към symhash mod 65536 … флаговете на опашката заобикалят към numgen inc mod 65536 … опашка към jhash oif. meta mark mod 32 "queue" също може да се комбинира със списъци с карти, за да изберете опашка в потребителското пространство въз основа на произволни ключове. ... флагове на опашка заобикалят до oifname map { "eth0" : 0, "ppp0" : 2, "eth1" : 2 }
• Възможно е да се разширят променливи, които включват набор от списък в няколко карти. дефинирайте интерфейси = { eth0, eth1 } таблица ip x { верига y { тип филтър кука входен приоритет 0; политика приема; iifname vmap { lo : accept, $interfaces : drop } } } # nft -f x.nft # nft list table set правила ip x { chain y { type filter hook input priority 0; политика приема; iifname vmap { "lo" : приемане, "eth0" : пускане, "eth1" : пускане } } }
• Разрешено е комбинирането на vmaps (карта на присъдата) на интервали: # nft add rule xy tcp dport. ip saddr vmap {1025-65535. 192.168.10.2 : приемам }
• Опростен синтаксис за NAT съпоставяне. Позволено е да се указват диапазони от адреси: ... snat to ip saddr map { 10.141.11.4 : 192.168.2.2-192.168.2.4 } или изрични IP адреси и портове: ... dnat to ip saddr map { 10.141.11.4 : 192.168.2.3 . 80 } или комбинации от IP диапазони и портове: ... dnat към ip saddr . tcp dport map { 192.168.1.2 . 80: 10.141.10.2-10.141.10.5. 8888-8999 }

Източник: opennet.ru