🥇 שחרור מסנן מנות nftables 0.9.1

לאחר שנה של פיתוח הציג שחרור מסנן מנות nftables 0.9.1, מתפתח כתחליף ל-iptables, ip6table, arptables ו-ebtables על ידי איחוד ממשקי סינון מנות עבור IPv4, IPv6, ARP וגשרי רשת. חבילת nftables כוללת רכיבי מסנן מנות הפועלים בחלל המשתמש, בעוד שהעבודה ברמת הליבה מסופקת על ידי תת-המערכת nf_tables, שהייתה חלק מליבת לינוקס מאז גרסה 3.13.

רמת הקרנל מספקת רק ממשק גנרי בלתי תלוי בפרוטוקול המספק פונקציות בסיסיות לחילוץ נתונים ממנות, ביצוע פעולות נתונים ובקרת זרימה.
לוגיקית הסינון עצמה והמטפלים הספציפיים לפרוטוקול מורכבים לתוך bytecode במרחב המשתמש, ולאחר מכן קוד בית זה נטען לתוך הליבה באמצעות ממשק Netlink ומבוצע במכונה וירטואלית מיוחדת המזכירה את BPF (Berkeley Packet Filters). גישה זו מאפשרת להקטין משמעותית את גודל קוד הסינון הפועל ברמת הקרנל ולהעביר את כל הפונקציות של חוקי ניתוח והיגיון לעבודה עם פרוטוקולים למרחב המשתמש.

חידושים עיקריים:

תמיכה ב-IPsec, המאפשרת התאמה של כתובות מנהרה על סמך מנה, מזהה בקשת IPsec ותג SPI (אינדקס פרמטר אבטחה). לדוגמה,
... ipsec ב-ip saddr 192.168.1.0/24
... ipsec ב-spi 1-65536

כמו כן, ניתן לבדוק האם מסלול עובר במנהרת IPsec. לדוגמה, כדי לחסום תעבורה שלא באמצעות IPSec:

... פלט מסנן rt ipsec חסר ירידה
תמיכה ב-IGMP (Internet Group Management Protocol). לדוגמה, אתה יכול להשתמש בכלל כדי למחוק בקשות נכנסות לחברות בקבוצת IGMP
nft add rule netdev foo bar סוג igmp membership-query counter drop
אפשרות שימוש במשתנים להגדרת שרשראות מעבר (קפיצה/גוטו). לדוגמה:
להגדיר dest = ber
הוסף כלל ip foo bar jump $dest
תמיכה במסכות לזיהוי מערכות הפעלה (טביעת אצבע של מערכת ההפעלה) בהתבסס על ערכי TTL בכותרת. לדוגמה, כדי לסמן מנות המבוססות על מערכת ההפעלה של השולח, אתה יכול להשתמש בפקודה:
... meta mark set osf ttl דלג שם מפת { "Linux" : 0x1,
"חלונות": 0x2,
"MacOS": 0x3,
"לא ידוע" : 0x0 }
... osf ttl דלג על גרסה "Linux:4.20"
יכולת התאמה בין כתובת ה-ARP של השולח לבין כתובת ה-IPv4 של מערכת היעד. לדוגמה, כדי להגדיל את המונה של מנות ARP שנשלחו מהכתובת 192.168.2.1, אתה יכול להשתמש בכלל הבא:
table arp x {
שרשרת y {
סוג מסנן קלט קלט וו מסנן; קבלת מדיניות;
arp saddr ip 192.168.2.1 מנות מונה 1 בתים 46
}
}
תמיכה בהעברת בקשות שקוף באמצעות פרוקסי (tproxy). לדוגמה, כדי להפנות שיחות ליציאה 80 ליציאת proxy 8080:
טבלה ip x {
שרשרת y {
סוג מסנן עדיפות ניתוב מראש -150; קבלת מדיניות;
tcp dport 80 tproxy ל:8080
}
}
תמיכה בסימון שקעים עם יכולת להשיג עוד את סימן הסט באמצעות setsockopt() במצב SO_MARK. לדוגמה:
טבלה inet x {
שרשרת y {
סוג מסנן עדיפות ניתוב מראש -150; קבלת מדיניות;
tcp dport 8080 סימן סט שקע סימן
}
}
תמיכה בציון שמות טקסט עדיפות עבור רשתות. לדוגמה:
nft add chain ip x raw { type filter hook prerouting priority raw; }
nft add chain ip x filter { type filter hook prerouting priority filter; }
nft add chain ip x filter_later { type filter hook prerouting priority filter + 10; }
תמיכה בתגיות SELinux (Secmark). לדוגמה, כדי להגדיר את התג "sshtag" בהקשר של SELinux, אתה יכול להריץ:
nft add secmark inet filter sshtag "system_u:object_r:ssh_server_packet_t:s0"

ולאחר מכן השתמש בתווית הזו בכללים:

nft add rule inet filter input tcp dport 22 meta secmark set "sshtag"

nft הוסף מפה inet filter secmapping { סוג inet_service: secmark; }
nft add element inet filter secmapping { 22 : "sshtag" }
nft add rule inet filter input meta secmark set tcp dport map @secmapping
יכולת לציין יציאות שהוקצו לפרוטוקולים בצורת טקסט, כפי שהם מוגדרים בקובץ /etc/services. לדוגמה:
nft add rule xy tcp dport "ssh"
ערכת חוקים רשימת nft -l
טבלה x {
שרשרת y {
...
tcp dport "ssh"
}
}
יכולת לבדוק את סוג ממשק הרשת. לדוגמה:
הוסף כלל inet raw prerouting meta iifkind "vrf" accept
תמיכה משופרת לעדכון דינמי של תוכן הסט על ידי ציון מפורש של הדגל "דינמי". לדוגמה, כדי לעדכן את סט "s" כדי להוסיף את כתובת המקור ולאפס את הערך אם אין מנות במשך 30 שניות:
הוסף טבלה x
הוסף set xs { סוג ipv4_addr; מידה 128; פסק זמן בשנות ה-30; דגלים דינמיים; }
הוסף שרשרת xy { סוג מסנן הוק עדיפות קלט 0; }
הוסף כלל xy update @s { ip saddr }
יכולת להגדיר תנאי פסק זמן נפרד. לדוגמה, כדי לעקוף את פסק הזמן המוגדר כברירת מחדל עבור מנות המגיעות ביציאה 8888, אתה יכול לציין:
מסנן IP של טבלה {
ct timeout aggressive-tcp {
פרוטוקול tcp;
l3proto ip;
מדיניות = {קבוע: 100, close_wait: 4, סגור: 4}
}
פלט שרשרת {
...
tcp dport 8888 ct timeout set "aggressive-tcp"
}
}
תמיכת NAT למשפחת inet:
table inet nat {
...
ip6 daddr dead::2::1 dnat to dead:2::99
}
דיווח על שגיאות הקלדה משופר:
בדיקת מסנן שרשרת להוסיף nft

שגיאה: אין קובץ או ספרייה כאלה; האם התכוונת ל"מסנן" בטבלה ב-IP משפחתי?
הוסף בדיקת מסנן שרשרת
^^^^^^
יכולת לציין שמות ממשקים בסטים:
set sc {
הקלד inet_service . ifname
אלמנטים = { "ssh" . "eth0" }
}
תחביר כללי טבלת זרימה מעודכן:
nft הוסף טבלה x
nft add flowtable x ft { Hook ingress priority 0; מכשירים = { eth0, wlan0 }; }
...
nft add rule x forward ip protocol { tcp, udp } flow add @ft
תמיכת JSON משופרת.

מקור: OpenNet.ru

מהדורת מסנן מנות nftables 0.9.1

הוספת תגובה ביטול תגובה