Выпуск пакетного фильтра nftables 0.9.1

После года разработки представлен релиз пакетного фильтра nftables 0.9.1, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13.

На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.
Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные новшества:

  • Поддержка IPsec, позволяющая выполнять сопоставление адресов туннелей в привязке к пакету, идентификатору запроса IPsec и тегу SPI (Security Parameter Index). Например,

    … ipsec in ip saddr 192.168.1.0/24
    … ipsec in spi 1-65536

    Также возможна проверка прохождения маршрута через туннель IPsec. Например, для блокирования трафика не через IPSec:

    … filter output rt ipsec missing drop

  • Поддержка протокола IGMP (Internet Group Management Protocol). Например, для отбрасывания входящих IGMP-запросов принадлежности к группе можно использовать правило

    nft add rule netdev foo bar igmp type membership-query counter drop

  • Возможность использования переменных для определения цепочек перехода (jump / goto). Например:

    define dest = ber
    add rule ip foo bar jump $dest

  • Поддержка масок для идентификации операционных систем (OS Fingerprint) на основе значений TTL в заголовке. Например, для пометки пакетов в зависимости от ОС отправителя можно использовать команду:

    … meta mark set osf ttl skip name map { «Linux» : 0x1,
    «Windows» : 0x2,
    «MacOS» : 0x3,
    «unknown» : 0x0 }
    … osf ttl skip version «Linux:4.20»

  • Возможность сопоставления ARP-адреса отправителя и IPv4-адреса целевой системы. Например, для увеличения счётчика ARP-пакетов, отправленных с адреса 192.168.2.1 можно использовать правило:

    table arp x {
    chain y {
    type filter hook input priority filter; policy accept;
    arp saddr ip 192.168.2.1 counter packets 1 bytes 46
    }
    }

  • Поддержка прозрачного проброса запросов через прокси (tproxy). Например, для перенаправления обращений к 80 порту на порт прокси 8080:

    table ip x {
    chain y {
    type filter hook prerouting priority -150; policy accept;
    tcp dport 80 tproxy to :8080
    }
    }

  • Поддержка пометки сокетов с возможностью дальнейшего получения установленной метки через setsockopt() в режиме SO_MARK. Например:

    table inet x {
    chain y {
    type filter hook prerouting priority -150; policy accept;
    tcp dport 8080 mark set socket mark
    }
    }

  • Поддержка указания текстовых наименований приоритетов для цепочек. Например:

    nft add chain ip x raw { type filter hook prerouting priority raw; }
    nft add chain ip x filter { type filter hook prerouting priority filter; }
    nft add chain ip x filter_later { type filter hook prerouting priority filter + 10; }

  • Поддержка меток SELinux (Secmark). Например, для определения метки «sshtag» в привязке к контексту SELinux можно запустить:

    nft add secmark inet filter sshtag «system_u:object_r:ssh_server_packet_t:s0»

    А затем использовать эту метку в правилах:

    nft add rule inet filter input tcp dport 22 meta secmark set «sshtag»

    nft add map inet filter secmapping { type inet_service : secmark; }
    nft add element inet filter secmapping { 22 : «sshtag» }
    nft add rule inet filter input meta secmark set tcp dport map @secmapping

  • Возможность указания закреплённых за протоколами портов в текстовом виде, как они определены в файле /etc/services. Например:

    nft add rule x y tcp dport «ssh»
    nft list ruleset -l
    table x {
    chain y {

    tcp dport «ssh»
    }
    }

  • Возможность проверки типа сетевого интерфейса. Например:

    add rule inet raw prerouting meta iifkind «vrf» accept

  • Улучшена поддержка динамического обновления содержимого наборов (sets) через явное указание флага «dynamic». Например, для обновления набора «s» с добавлением исходного адреса и сбросом записи в случае отсутствия пакетов в течение 30 секунд:

    add table x
    add set x s { type ipv4_addr; size 128; timeout 30s; flags dynamic; }
    add chain x y { type filter hook input priority 0; }
    add rule x y update @s { ip saddr }

  • Возможность задания отдельного условия наступления таймаута. Например, для переопределения таймаута по умолчанию для пактов, пришедших на порт 8888 можно указать:

    table ip filter {
    ct timeout agressive-tcp {
    protocol tcp;
    l3proto ip;
    policy = {established: 100, close_wait: 4, close: 4}
    }
    chain output {

    tcp dport 8888 ct timeout set «agressive-tcp»
    }
    }

  • Поддержка NAT для семейства inet:

    table inet nat {

    ip6 daddr dead::2::1 dnat to dead:2::99
    }

  • Улучшенные средства вывода информации об ошибках из-за опечаток:

    nft add chain filtre test

    Error: No such file or directory; did you mean table «filter» in family ip?
    add chain filtre test
    ^^^^^^

  • Возможность указания имён интерфейсов в наборах (sets):

    set sc {
    type inet_service . ifname
    elements = { «ssh» . «eth0» }
    }

  • Обновлён синтаксис правил flowtable:

    nft add table x
    nft add flowtable x ft { hook ingress priority 0; devices = { eth0, wlan0 }; }

    nft add rule x forward ip protocol { tcp, udp } flow add @ft

  • Улучшена поддержка JSON.

Источник: opennet.ru