liberazione di filtru di pacchettu , chì hè sviluppatu cum'è rimpiazzamentu per iptables, ip6table, arptables è ebtables unificendu l'interfacce di filtrazione di pacchetti per IPv4, IPv6, ARP è ponti di rete. U pacchettu nftables include cumpunenti di filtrazione di pacchetti chì operanu in u spaziu utilizatore, mentre chì a funzionalità à livellu di kernel hè furnita da u sottosistema nf_tables, chì face parte di u kernel. Linux À partesi da a versione 3.13, i cambiamenti necessarii per u funziunamentu di nftables 0.9.3 sò inclusi in a prossima branca di u kernel. Linux 5.5.
U nivellu di u kernel furnisce solu una interfaccia generica indipendente da u protokollu chì furnisce funzioni basiche per l'estrazione di dati da i pacchetti, eseguisce operazioni di dati è u cuntrollu di flussu. A logica di filtrazione stessu è i manipulatori specifichi di u protokollu sò compilati in bytecode in u spaziu di l'utilizatori, dopu chì stu bytecode hè caricatu in u kernel utilizendu l'interfaccia Netlink è eseguitu in una macchina virtuale speciale chì ricorda BPF (Berkeley Packet Filters). Stu approcciu permette di riduce significativamente a dimensione di u codice di filtrazione chì corre à u livellu di u kernel è move tutte e funzioni di e regule di analisi è a logica per travaglià cù protokolli in u spaziu di l'utilizatori.
Innuvazioni principali:
- Supportu per i pacchetti currispondenti per u tempu. Pudete definisce l'intervalli di tempu è di data in quale a regula serà attivata, è cunfigurà l'attivazione in i ghjorni individuali di a settimana. Hà aghjustatu ancu una nova opzione "-T" per vede u tempu epocale in seconde.
meta ora \»2019-12-24 16:00\" — \»2020-01-02 7:00\"
meta ora \"17:00\" - \"19:00\"
meta ghjornu \"Ven\" - Supportu per u restauru è u salvataggio di tag SELinux (secmark).
ct secmark set meta secmark
meta secmark set ct secmark - Supportu per listi di carte synproxy, chì vi permettenu di definisce più di una regula per backend.
table ip foo {
synproxy https-synproxy {
mss 1460
scala 7
timestamp sack-perm
}synproxy altru-synproxy {
mss 1460
scala 5
}catena pre {
tippu filtru ganciu prerouting priorità crudu; accetta a pulitica;
tcp dport 8888 tcp flags syn nottrack
}barra di catena {
tipu filtru ganciu filtru priurità avanti; accetta a pulitica;
ct state invalid, untracked synproxy name ip saddr map { 192.168.1.0/24: "https-synproxy", 192.168.2.0/24: "altru-synproxy"}
}
} - A capacità di sguassà dinamicamente elementi stabiliti da e regule di trasfurmazioni di pacchetti.
nft add rule ... sguassate @set5 { ip6 saddr . ip6 daddr}
- Supportu per a mappa VLAN per ID è protokollu definitu in i metadati di l'interfaccia di u ponte di rete;
meta ibrpvid 100
meta ibrvproto vlan - Opzione "-t" ("--terse") per escludiri elementi di set sets quandu mostra e regule. L'esecuzione di "nft -t list ruleset" produrrà:
table ip x {
set y {
tipu ipv4_addr
}
}È cù "nft list ruleset"
table ip x {
set y {
tipu ipv4_addr
elementi = { 192.168.10.2, 192.168.20.1,
192.168.4.4, 192.168.2.34 }
}
} - Capacità di specificà più di un dispositivu in catene netdev (funziona solu cù u kernel 5.5) per cumminà e regule di filtrazione cumuni.
aghjunghje table netdev x
aghjunghje a catena netdev xy { \
tippu filtru ganciu ingress devices = { eth0, eth1 } priurità 0;
} - Capacità di aghjunghje descrizzioni di tipi di dati.
#nft descrive ipv4_addr
datatype ipv4_addr (indirizzu IPv4) (basetype integer), 32 bits - Capacità di custruisce una interfaccia CLI cù a libreria linenoise invece di libreadline.
./configure --with-cli=linenoise
Source: opennet.ru
