🥇Nftables Packet Filter 1.0.7 издание

Изданието на филтъра за пакети nftables 1.0.7 беше публикувано, обединявайки интерфейсите за филтриране на пакети за IPv4, IPv6, ARP и мрежови мостове (насочени към замяна на iptables, ip6table, arptables и ebtables). Пакетът nftables включва компоненти за филтър на пакети, които работят в потребителското пространство, докато нивото на ядрото се предоставя от подсистемата nf_tables, която е част от ядрото на Linux от версия 3.13. На ниво ядро се предоставя само общ интерфейс, независим от протокол, който предоставя основни функции за извличане на данни от пакети, извършване на операции с данни и контролиране на потока.

Самите правила за филтриране и специфичните за протокола манипулатори се компилират в байт код на потребителското пространство, след което този байт код се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в ядрото в специална виртуална машина, наподобяваща BPF (Berkeley Packet Filters). Този подход прави възможно значително намаляване на размера на филтриращия код, работещ на ниво ядро, и преместване на всички функции на правилата за анализ и логиката на работа с протоколи в потребителското пространство.

Основни промени:

За системи с ядро на Linux 6.2+ е добавена поддръжка за съвпадение на протоколи vxlan, geneve, gre и gretap, което позволява прости изрази за проверка на заглавки в капсулирани пакети. Например, за да проверите IP адреса в заглавката на вложен пакет от VxLAN, вече можете да използвате правилата (без да е необходимо първо да декапсулирате заглавката на VxLAN и да свържете филтъра към интерфейса vxlan0): ... udp dport 4789 vxlan ip протокол udp ... udp dport 4789 vxlan ip saddr 1.2.3.0 24/4789 ... udp dport 1.2.3.4 vxlan ip saddr . vxlan ip daddr { 4.3.2.1 . XNUMX}
Реализирана поддръжка за автоматично обединяване на остатъци след частично изтриване на елемент от списъка с набори, което позволява изтриване на елемент или част от диапазон от съществуващ диапазон (преди това диапазон можеше да бъде изтрит само изцяло). Например, след премахване на елемент 25 от списък с набори с диапазони 24-30 и 40-50, 24, 26-30 и 40-50 ще останат в списъка. Поправките, необходими за работа на автоматичното сливане, ще бъдат предложени в коригиращи версии на 5.10+ стабилни клонове на ядрото. # nft list ruleset table ip x { set y { typeof tcp dport flags interval auto-merge elements = { 24-30, 40-50 } } } # nft delete element ip xy { 25 } # nft list ruleset table ip x { set y { typeof tcp dport флагове интервал автоматично обединяване на елементи = { 24, 26-30, 40-50 } } }
Разрешаване на използване на контакти и диапазони при преобразуване на преобразуване на адреси (NAT). таблица ip nat { верига prerouting { type nat hook prerouting приоритет dstnat; политика приема; dnat към ip daddr. tcp dport map { 10.1.1.136 . 80: 1.1.2.69. 1024, 10.1.1.10-10.1.1.20. 8888-8889: 1.1.2.69. 2048-2049 } постоянен } }
Добавена е поддръжка за "последния" израз, който ви позволява да разберете времето на последното използване на елемент от правило или набор от списък. Тази функция се поддържа от ядрото на Linux 5.14. таблица ip x { set y { typeof ip daddr. tcp dport size 65535 флагове dynamic,timeout last timeout 1h } chain z { type filter hook output priority filter; политика приема; актуализация @y {ip daddr. tcp dport } } } # nft списък set ip xy table ip x { set y { typeof ip daddr. tcp dport размер 65535 флагове динамичен, таймаут последен таймаут 1h елементи = { 172.217.17.14 . 443 последно използвано 1s591ms таймаут 1h изтича 59m58s409ms, 172.67.69.19. 443 последно използвано 4s636ms таймаут 1h изтича 59m55s364ms, 142.250.201.72. 443 последно използвано 4s748ms таймаут 1h изтича 59m55s252ms, 172.67.70.134. 443 последно използвано 4s688ms таймаут 1h изтича 59m55s312ms, 35.241.9.150. 443 последно използвано 5s204ms таймаут 1h изтича 59m54s796ms, 138.201.122.174. 443 последно използвано 4s537ms таймаут 1h изтича 59m55s463ms, 34.160.144.191. 443 последно използвано 5s205ms таймаут 1h изтича 59m54s795ms, 130.211.23.194. 443 последно използвано 4s436ms таймаут 1h изтича 59m55s564ms } } }
Добавена е възможност за дефиниране на квоти в списъците с набори. Например, за да дефинирате квота за трафик за всеки целеви IP адрес, можете да посочите: table netdev x { set y { typeof ip daddr size 65535 квота над 10000 mbytes } chain y { type filter hook egress device "eth0" priority filter; политика приема; ip daddr @y drop } } # nft add element inet xy { 8.8.8.8 } # ping -c 2 8.8.8.8 # nft списък с правила таблица netdev x { set y { type ipv4_addr size 65535 квота над 10000 mbytes elements = { 8.8.8.8. 10000 квота над 196 mbytes използвани 0 байта } } верига y { тип филтър кука изходящо устройство "ethXNUMX" приоритетен филтър; политика приема; ip daddr @y спад } }
Използването на константи в списъците с набори е разрешено. Например, когато използвате списък с адрес на местоназначение и VLAN ID като ключ, можете директно да посочите VLAN номера (daddr. 123): table netdev t { set s { typeof ether saddr. vlan id размер 2048 флагове динамичен, таймаут изчакване 1m } верига c { тип филтър кука входно устройство eth0 приоритет 0; политика приема; ether type != 8021q актуализация @s { ether daddr. 123 } брояч } }
Добавена е нова команда „унищожи“ за безусловно изтриване на обекти (за разлика от командата за изтриване, тя не генерира ENOENT при опит за изтриване на липсващ обект). Изисква поне Linux 6.3-rc ядро, за да работи. унищожи таблицата IP филтър

Източник: opennet.ru

nftables пакетен филтър версия 1.0.7

Добавяне на нов коментар

nftables пакетен филтър версия 1.0.7

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар