nftables пакетен филтър версия 1.0.3

Изданието на филтъра за пакети nftables 1.0.3 беше публикувано, обединявайки интерфейсите за филтриране на пакети за IPv4, IPv6, ARP и мрежови мостове (насочени към замяна на iptables, ip6table, arptables и ebtables). Промените, необходими за работа на изданието nftables 1.0.3, са включени в ядрото на Linux 5.18.

Пакетът nftables включва компоненти за филтър на пакети, които работят в потребителското пространство, докато нивото на ядрото се предоставя от подсистемата nf_tables, която е част от ядрото на Linux от версия 3.13. На ниво ядро ​​се предоставя само общ интерфейс, независим от протокол, който предоставя основни функции за извличане на данни от пакети, извършване на операции с данни и контролиране на потока.

Самите правила за филтриране и специфичните за протокола манипулатори се компилират в байт код на потребителското пространство, след което този байт код се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в ядрото в специална виртуална машина, наподобяваща BPF (Berkeley Packet Filters). Този подход прави възможно значително намаляване на размера на филтриращия код, работещ на ниво ядро, и преместване на всички функции на правилата за анализ и логиката на работа с протоколи в потребителското пространство.

Основни иновации:

• Списъците с набори вече поддържат съвпадение на имена на мрежови интерфейси чрез маска, например зададена с помощта на знака "*": table inet testifsets { set simple_wild { type ifname flags interval elements = { "abcdef*", "othername", "ppp0" } } верига v4icmp { тип филтър кука входен приоритет 0; политика приема; iifname @simple_wild брояч на пакети 0 байта 0 iifname { "abcdef*", "eth0" } брояч на пакети 0 байта 0 } }
• Внедрено автоматично обединяване на пресичащи се елементи от списъка с настройки по време на работа. Преди това, когато се задаваше опцията „автоматично обединяване“, обединяването се извършваше на етапа на деклариране на правилата, но сега работи и при постепенно добавяне на нови елементи в процеса. Например в стъпката за деклариране списъкът е зададен y { флагове интервал автоматично обединяване елементи = { 1.2.3.0, 1.2.3.255, 1.2.3.0/24, 3.3.3.3, 4.4.4.4, 4.4.4.4-4.4.4.8. 3.3.3.4, 3.3.3.5 , 1.2.3.0 } } ще станат елементи = { 24/3.3.3.3, 3.3.3.5-4.4.4.4, 4.4.4.8-1.2.3.0 } и след това, ако добавим нови елементи # nft добави елемент ip xy { 1.2.4.255 -3.3.3.6, 1.2.3.0 } става елементи = { 1.2.4.255-3.3.3.3, 3.3.3.6-4.4.4.4, 4.4.4.8-XNUMX }

  Когато премахнете отделни елементи от списъка, които попадат в рамките на съществуващи елементи с диапазон, диапазонът се намалява или разделя.

• Добавена е поддръжка за комбиниране на правила за преобразуване на множество адреси (NAT) в списък с карти в оптимизатора на правила, извикан при посочване на опцията "-o/--optimize". Например, за set # cat ruleset.nft table ip x { chain y { type nat hook postrouting priority srcnat; спад на политиката; ip saddr 1.1.1.1 tcp dport 8000 snat до 4.4.4.4:80 ip saddr 2.2.2.2 tcp dport 8001 snat до 5.5.5.5:90 } }

  изпълнението на "nft -o -c -f ruleset.nft" ще преобразува отделните правила "ip saddr" в списък с карти: snat към ip saddr. tcp dport map { 1.1.1.1 . 8000: 4.4.4.4. 80, 2.2.2.2. 8001:5.5.5.5. 90}

  По същия начин необработените изрази могат също да бъдат преобразувани в списъци с карти: # cat ruleset.nft table ip x { […] chain nat_dns_acme { udp length 47-63 @th,160,128 0x0e373135363130333131303735353203 goto nat_dns_dnstc udp length 62-78 @ th,160,128 0x0e31393032383939353831343037320e отивам nat_dns_this_5301 udp дължина 62-78 @th,160,128 0x0e31363436323733373931323934300e goto nat_dns_saturn_5301 udp дължина 62-78 @th,160,128 0x0e32393535373539353636383732310 5302e goto nat_dns_saturn_62 udp дължина 78-160,128 @th,0 0x38353439353637323038363633390e5303e goto nat_dns_saturn_XNUMX drop } }

  след оптимизация получаваме списък с карти: udp length . @th,160,128 vmap { 47-63 . 0x0e373135363130333131303735353203 : отидете до nat_dns_dnstc, 62-78. 0x0e31393032383939353831343037320e : отидете до nat_dns_this_5301, 62-78. 0x0e31363436323733373931323934300e : отидете до nat_dns_saturn_5301, 62-78. 0x0e32393535373539353636383732310e : отидете на nat_dns_saturn_5302, 62-78. 0x0e38353439353637323038363633390e : отидете до nat_dns_saturn_5303 }

• Разрешено е използването на необработени изрази в операциите за конкатенация. Например: # nft add rule xy ip saddr. @ih,32,32 { 1.1.1.1. 0x14, 2.2.2.2. 0x1e } или таблица x { set y { typeof ip saddr. @ih,32,32 елемента = { 1.1.1.1. 0x14 } } }
• Добавена е поддръжка за указване на целочислени заглавни полета в операции за конкатенация: table inet t { map m1 { typeof udp length . @ih,32,32 : знамена за присъда интервални елементи = { 20-80 . 0x14 : приемам, 1-10 . 0xa : капка } } верига c { тип филтър кука входен приоритет 0; спад на политиката; udp дължина. @ih,32,32 vmap @m1 } }
• Добавена поддръжка за нулиране на TCP опции (работи само с Linux ядро ​​5.18+): tcp флагове syn reset tcp опция sack-perm
• По-бързо изпълнение на верижни изходни команди ("nft list chain xy").

Източник: opennet.ru