מהדורת מסנן מנות nftables 0.9.4

יצא לאור שחרור מסנן מנות nftables 0.9.4, מתפתח כתחליף ל-iptables, ip6table, arptables ו-ebtables על ידי איחוד ממשקי סינון מנות עבור IPv4, IPv6, ARP וגשרי רשת. חבילת nftables כוללת רכיבי מסנן מנות הפועלים בחלל המשתמש, בעוד שהעבודה ברמת הליבה מסופקת על ידי תת-המערכת nf_tables, שהייתה חלק מליבת לינוקס מאז גרסה 3.13. השינויים הדרושים כדי שהגרסה של nftables 0.9.4 תעבוד כלולים בענף הליבה העתידי לינוקס 5.6.

רמת הקרנל מספקת רק ממשק גנרי בלתי תלוי בפרוטוקול המספק פונקציות בסיסיות לחילוץ נתונים ממנות, ביצוע פעולות נתונים ובקרת זרימה. כללי הסינון והמטפלים הספציפיים לפרוטוקול מורכבים לתוך bytecode במרחב המשתמש, ולאחר מכן bytecode זה נטען לתוך הליבה באמצעות ממשק Netlink ומבוצע בקרנל במכונה וירטואלית מיוחדת המזכירה BPF (Berkeley Packet Filters). גישה זו מאפשרת להקטין משמעותית את גודל קוד הסינון הפועל ברמת הקרנל ולהעביר את כל הפונקציות של חוקי ניתוח והיגיון לעבודה עם פרוטוקולים למרחב המשתמש.

חידושים עיקריים:

• תמיכה בטווחים בחיבורים (שרשור, חבילות מסוימות של כתובות ויציאות שמפשטות השוואה). לדוגמה, עבור קבוצה "רשימת לבנה" שהרכיבים שלה הם קובץ מצורף, ציון הדגל "מרווח" יציין שהסט יכול לכלול טווחים בקובץ המצורף (עבור הקובץ המצורף "ipv4_addr . ipv4_addr. inet_service" ניתן היה בעבר לרשום מדויק התאמות של הטופס "192.168.10.35. 192.68.11.123", ועכשיו אתה יכול לציין קבוצות של כתובות "80-192.168.10.35-192.168.10.40"):192.68.11.123.

  table ip foo {
  הגדר את רשימת הלבנים {
  הקלד ipv4_addr . ipv4_addr. inet_service
  מרווח דגלים
  אלמנטים = { 192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125. 80}
  }

  שרשרת {
  סוג מסנן וו מסנן עדיפות ניתוב מראש; ירידת מדיניות;
  ip saddr. ip daddr. tcp dport @whitelist קבל
  }
  }

• בסטים וברשימות מפות, ניתן להשתמש בהנחיית "typeof", שקובעת את הפורמט של האלמנט בעת ההתאמה.
  לדוגמה:

  table ip foo {
  הגדר את רשימת הלבנים {
  סוג ip saddr
  אלמנטים = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
  }

  שרשרת {
  סוג מסנן וו מסנן עדיפות ניתוב מראש; ירידת מדיניות;
  ip daddr @whitelist קבל
  }
  }

  table ip foo {
  map addr2mark {
  typeof ip saddr: מטא סימן
  רכיבים = { 192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
  }
  }

• נוספה היכולת להשתמש ב-joins ב-NAT bindings, המאפשרת לך לציין כתובת ויציאה בעת הגדרת טרנספורמציות NAT בהתבסס על רשימות מפות או סטים עם שם:

  nft add rule ip nat pre dnat ip adr. יציאה ל-ip saddr map { 1.1.1.1: 2.2.2.2. שלושים}

  nft הוסף מפה ip nat יעדים { הקלד ipv4_addr. inet_service: ipv4_addr. inet_service \\; }
  nft add rule ip nat pre dnat ip adr. יציאה ל-ip saddr. tcp dport map @destinations

• תמיכה בהאצת חומרה עם כמה פעולות סינון המבוצעות על ידי כרטיס הרשת. האצה מופעלת באמצעות כלי השירות ethtool ("ethtool -K eth0 hw-tc-offload on"), ולאחר מכן היא מופעלת ב-nftables עבור השרשרת הראשית באמצעות דגל "offload". בעת שימוש בליבת לינוקס 5.6, האצת חומרה נתמכת עבור התאמת שדות כותרת ובדיקת ממשק נכנס בשילוב עם קבלה, השלכה, שכפול (dup) והעברה (fwd) מנות. בדוגמה למטה, פעולות השלכת מנות המגיעות מהכתובת 192.168.30.20 מבוצעות ברמת כרטיס הרשת, מבלי להעביר את החבילות לקרנל:

  # cat file.nft
  טבלה netdev x {
  שרשרת y {
  סוג התקן חדירת וו מסנן eth0 עדיפות 10; הורדת דגלים;
  ip saddr 192.168.30.20 ירידה
  }
  }
  # nft -f file.nft

• מידע משופר על מיקום שגיאה בכללים.

  # nft delete rule ip yz handle 7
  שגיאה: לא ניתן לעבד כלל: אין קובץ או ספרייה כאלה
  מחק כלל ip yz handle 7
  ^

  # nft מחיקת כלל ip xx ידית 7
  שגיאה: לא ניתן לעבד כלל: אין קובץ או ספרייה כאלה
  מחק את כלל ip xx ידית 7
  ^

  # nft מחק טבלת twst
  שגיאה: אין קובץ או ספרייה כאלה; האם התכוונת לשולחן "מבחן" ב-IP משפחתי?
  מחק את הטבלה twst
  ^ ^ ^ ^

  הדוגמה הראשונה מראה שהטבלה "y" לא נמצאת במערכת, השנייה שהמטפל "7" חסר, והשלישית שמוצגת שורת הקלדה בעת הקלדת שם הטבלה.

• נוספה תמיכה לבדיקת ממשק העבדים על ידי ציון "meta sdif" או "meta sdifname":

  ... meta sdifname vrf1 ...

• נוספה תמיכה בפעולות העברה ימינה או שמאלה. לדוגמה, כדי להעביר תווית מנה קיימת שמאלה ב-1 סיביות ולהגדיר את ה-bit minor ל-1:

  … מטא סימן הגדר מטא סימן lshift 1 או 0x1 …

• הוטמעה אפשרות "-V" להצגת מידע גרסה מורחב.

  # nft -V
  nftables v0.9.4 (Jive at Five)
  cli:readline
  json: כן
  minigmp:לא
  libxtables: כן

• כעת יש לציין אפשרויות שורת הפקודה לפני הפקודות. לדוגמה, עליך לציין "nft -a list ruleset", והפעלת "nft list ruleset -a" תגרום לשגיאה.

  מקור: OpenNet.ru