🥇 nftables 0.9.1 પેકેટ ફિલ્ટર રિલીઝ

વિકાસના એક વર્ષ પછી પ્રસ્તુત પેકેટ ફિલ્ટર પ્રકાશન nftables 0.9.1, IPv6, IPv4, ARP અને નેટવર્ક બ્રિજ માટે પેકેટ ફિલ્ટરિંગ ઈન્ટરફેસને એકીકૃત કરીને iptables, ip6table, arptables અને ebtables માટે રિપ્લેસમેન્ટ તરીકે વિકાસ કરી રહ્યાં છે. nftables પેકેજમાં યુઝર-સ્પેસ પેકેટ ફિલ્ટર ઘટકોનો સમાવેશ થાય છે, જ્યારે કર્નલ-સ્તરનું કાર્ય nf_tables સબસિસ્ટમ દ્વારા પ્રદાન કરવામાં આવે છે, જે 3.13 ના પ્રકાશનથી Linux કર્નલનો ભાગ છે.

કર્નલ સ્તર માત્ર એક સામાન્ય પ્રોટોકોલ-સ્વતંત્ર ઈન્ટરફેસ પૂરું પાડે છે જે પેકેટોમાંથી ડેટા કાઢવા, ડેટા ઓપરેશન કરવા અને ફ્લો કંટ્રોલ માટે મૂળભૂત કાર્યો પૂરા પાડે છે.
ફિલ્ટરિંગ લોજિક પોતે અને પ્રોટોકોલ-વિશિષ્ટ હેન્ડલર્સ યુઝર સ્પેસમાં બાઈટકોડમાં કમ્પાઈલ કરવામાં આવે છે, ત્યારબાદ આ બાઈટકોડ નેટલિંક ઈન્ટરફેસનો ઉપયોગ કરીને કર્નલમાં લોડ કરવામાં આવે છે અને BPF (બર્કલે પેકેટ ફિલ્ટર્સ) ની યાદ અપાવે તેવા વિશિષ્ટ વર્ચ્યુઅલ મશીનમાં ચલાવવામાં આવે છે. આ અભિગમ તમને કર્નલ સ્તરે ચાલતા ફિલ્ટરિંગ કોડના કદને નોંધપાત્ર રીતે ઘટાડવા અને પ્રોટોકોલ સાથે કામ કરવા માટેના નિયમો અને તર્કશાસ્ત્રના તમામ કાર્યોને વપરાશકર્તાની જગ્યામાં ખસેડવાની મંજૂરી આપે છે.

મુખ્ય નવીનતાઓ:

IPsec સપોર્ટ, પેકેટ, IPsec વિનંતી ID અને SPI (સિક્યોરિટી પેરામીટર ઇન્ડેક્સ) ટેગ પર આધારિત ટનલ સરનામાંને મેચ કરવાની મંજૂરી આપે છે. દાખ્લા તરીકે,
... ipsec in ip sadr 192.168.1.0/24
... ipsec in spi 1-65536

કોઈ રૂટ IPsec ટનલમાંથી પસાર થાય છે કે કેમ તે તપાસવું પણ શક્ય છે. ઉદાહરણ તરીકે, IPSec દ્વારા નહીં ટ્રાફિકને અવરોધિત કરવા માટે:

… ફિલ્ટર આઉટપુટ rt ipsec ડ્રોપ ખૂટે છે
IGMP (ઇન્ટરનેટ ગ્રુપ મેનેજમેન્ટ પ્રોટોકોલ) માટે સપોર્ટ. ઉદાહરણ તરીકે, તમે ઇનકમિંગ IGMP જૂથ સભ્યપદ વિનંતીઓને કાઢી નાખવા માટે નિયમનો ઉપયોગ કરી શકો છો
nft ઉમેરો નિયમ netdev foo bar igmp પ્રકાર સભ્યપદ-ક્વેરી કાઉન્ટર ડ્રોપ
સંક્રમણ સાંકળો (જમ્પ/ગોટો) ને વ્યાખ્યાયિત કરવા ચલોનો ઉપયોગ કરવાની શક્યતા. દાખ્લા તરીકે:
dest = ber વ્યાખ્યાયિત કરો
નિયમ ip foo બાર જમ્પ $dest ઉમેરો
હેડરમાં TTL મૂલ્યોના આધારે ઓપરેટિંગ સિસ્ટમ્સ (OS ફિંગરપ્રિન્ટ) ઓળખવા માટે માસ્ક માટે સપોર્ટ. ઉદાહરણ તરીકે, પ્રેષક OS પર આધારિત પેકેટોને ચિહ્નિત કરવા માટે, તમે આદેશનો ઉપયોગ કરી શકો છો:
... મેટા માર્ક સેટ osf ttl સ્કીપ નામ નકશો { "Linux" : 0x1,
"વિન્ડોઝ": 0x2,
"MacOS": 0x3,
"અજ્ઞાત" : 0x0 }
... osf ttl સ્કીપ વર્ઝન "Linux:4.20"
પ્રેષકના ARP સરનામું અને લક્ષ્ય સિસ્ટમના IPv4 સરનામાને મેચ કરવાની ક્ષમતા. ઉદાહરણ તરીકે, 192.168.2.1 સરનામાં પરથી મોકલવામાં આવેલા ARP પેકેટોના કાઉન્ટર વધારવા માટે, તમે નીચેના નિયમનો ઉપયોગ કરી શકો છો:
ટેબલ એઆરપી x {
સાંકળ y {
પ્રકાર ફિલ્ટર હૂક ઇનપુટ પ્રાથમિકતા ફિલ્ટર; નીતિ સ્વીકારો;
arp saddr ip 192.168.2.1 કાઉન્ટર પેકેટ્સ 1 બાઇટ્સ 46
}
}
પ્રોક્સી (tproxy) દ્વારા વિનંતીઓના પારદર્શક ફોરવર્ડિંગ માટે સપોર્ટ. ઉદાહરણ તરીકે, કૉલ્સને પોર્ટ 80 પર પ્રોક્સી પોર્ટ 8080 પર રીડાયરેક્ટ કરવા માટે:
કોષ્ટક ip x {
સાંકળ y {
પ્રકાર ફિલ્ટર હૂક પ્રીરુટીંગ અગ્રતા -150; નીતિ સ્વીકારો;
tcp dport 80 tproxy to :8080
}
}
SO_MARK મોડમાં setsockopt() દ્વારા સેટ માર્કને વધુ મેળવવાની ક્ષમતા સાથે માર્કિંગ સોકેટ્સ માટે સપોર્ટ. દાખ્લા તરીકે:
ટેબલ inet x {
સાંકળ y {
પ્રકાર ફિલ્ટર હૂક પ્રીરુટીંગ અગ્રતા -150; નીતિ સ્વીકારો;
tcp dport 8080 માર્ક સેટ સોકેટ માર્ક
}
}
સાંકળો માટે પ્રાધાન્યતા લખાણ નામો સ્પષ્ટ કરવા માટે આધાર. દાખ્લા તરીકે:
nft ઉમેરો સાંકળ ip x raw { પ્રકાર ફિલ્ટર હૂક પ્રીરોટીંગ પ્રાયોરિટી રો; }
nft સાંકળ ઉમેરો ip x ફિલ્ટર { પ્રકાર ફિલ્ટર હૂક પ્રીરોટીંગ પ્રાયોરિટી ફિલ્ટર; }
nft સાંકળ ઉમેરો ip x filter_later { પ્રકાર ફિલ્ટર હૂક પ્રીરોટીંગ પ્રાયોરીટી ફિલ્ટર + 10; }
SELinux ટૅગ્સ (સેકમાર્ક) માટે સપોર્ટ. ઉદાહરણ તરીકે, SELinux સંદર્ભમાં "sshtag" ટેગને વ્યાખ્યાયિત કરવા માટે, તમે ચલાવી શકો છો:
nft સેકમાર્ક ઇનેટ ફિલ્ટર sshtag "system_u:object_r:ssh_server_packet_t:s0" ઉમેરો

અને પછી નિયમોમાં આ લેબલનો ઉપયોગ કરો:

nft ઉમેરો નિયમ inet ફિલ્ટર ઇનપુટ tcp dport 22 મેટા સેકમાર્ક સેટ “sshtag”

nft ઉમેરો મેપ ઇનેટ ફિલ્ટર સેકમેપિંગ { પ્રકાર inet_service : secmark; }
nft એલિમેન્ટ ઇનેટ ફિલ્ટર સેકમેપિંગ ઉમેરો { 22 : "sshtag" }
એનએફટી ઉમેરો નિયમ inet ફિલ્ટર ઇનપુટ મેટા સેકમાર્ક સેટ tcp dport મેપ @secmapping
ટેક્સ્ટ ફોર્મમાં પ્રોટોકોલ્સને સોંપેલ પોર્ટનો ઉલ્લેખ કરવાની ક્ષમતા, કારણ કે તે /etc/services ફાઇલમાં વ્યાખ્યાયિત થયેલ છે. દાખ્લા તરીકે:
nft ઉમેરો નિયમ xy tcp dport "ssh"
nft યાદી નિયમો -l
ટેબલ x {
સાંકળ y {
...
tcp dport "ssh"
}
}
નેટવર્ક ઇન્ટરફેસના પ્રકારને તપાસવાની ક્ષમતા. દાખ્લા તરીકે:
નિયમ inet raw prerouting મેટા iifkind "vrf" સ્વીકારો ઉમેરો
"ડાયનેમિક" ફ્લેગનો સ્પષ્ટ ઉલ્લેખ કરીને સેટની સામગ્રીને ગતિશીલ રીતે અપડેટ કરવા માટે સુધારેલ સમર્થન. ઉદાહરણ તરીકે, સ્ત્રોત સરનામું ઉમેરવા માટે સેટ "s" અપડેટ કરવા અને જો ત્યાં 30 સેકન્ડ માટે કોઈ પેકેટ ન હોય તો એન્ટ્રી રીસેટ કરો:
કોષ્ટક x ઉમેરો
સેટ xs ઉમેરો { type ipv4_addr; કદ 128; સમયસમાપ્તિ 30s; ધ્વજ ગતિશીલ; }
સાંકળ xy ઉમેરો { પ્રકાર ફિલ્ટર હૂક ઇનપુટ પ્રાધાન્યતા 0; }
નિયમ xy અપડેટ @s { ip saddr } ઉમેરો
અલગ સમયસમાપ્તિ સ્થિતિ સેટ કરવાની શક્યતા. ઉદાહરણ તરીકે, પોર્ટ 8888 પર આવતા પેકેટો માટે ડિફૉલ્ટ સમયસમાપ્તિને ઓવરરાઇડ કરવા માટે, તમે સ્પષ્ટ કરી શકો છો:
ટેબલ આઈપી ફિલ્ટર {
ct સમયસમાપ્તિ આક્રમક-tcp {
પ્રોટોકોલ tcp;
l3proto ip;
નીતિ = {સ્થાપિત: 100, બંધ_પ્રતીક્ષા: 4, બંધ: 4}
}
સાંકળ આઉટપુટ {
...
tcp dport 8888 ct સમયસમાપ્તિ સેટ "આક્રમક-tcp"
}
}
ઇનેટ પરિવાર માટે NAT સપોર્ટ:
ટેબલ ઇનેટ નેટ {
...
ip6 daddr dead::2::1 dnat to dead:2::99
}
સુધારેલ ટાઇપો ભૂલ રિપોર્ટિંગ:
nft સાંકળ ફિલ્ટર ટેસ્ટ ઉમેરો

ભૂલ: આવી કોઈ ફાઇલ અથવા ડિરેક્ટરી નથી; શું તમારો અર્થ ફેમિલી આઈપીમાં ટેબલ "ફિલ્ટર" છે?
સાંકળ ફિલ્ટર ટેસ્ટ ઉમેરો
^^^^^^
સેટમાં ઇન્ટરફેસ નામો સ્પષ્ટ કરવાની ક્ષમતા:
સેટ એસસી {
inet_service ટાઈપ કરો. ifname
તત્વો = { "ssh" . "eth0" }
}
અપડેટ કરેલ ફ્લોટેબલ નિયમો વાક્યરચના:
nft કોષ્ટક x ઉમેરો
nft ઉમેરો ફ્લોટેબલ x ft { હૂક પ્રવેશ અગ્રતા 0; ઉપકરણો = { eth0, wlan0 }; }
...
nft ઉમેરો નિયમ x ફોરવર્ડ ip પ્રોટોકોલ { tcp, udp } પ્રવાહ ઉમેરો @ft
સુધારેલ JSON સપોર્ટ.

સોર્સ: opennet.ru

nftables પેકેટ ફિલ્ટર 0.9.1 રિલીઝ

એક ટિપ્પણી ઉમેરો જવાબ રદ