מהדורת מסנן מנות nftables 0.9.9

פורסם השחרור של מסנן מנות nftables 0.9.9, המאחד ממשקי סינון מנות עבור IPv4, IPv6, ARP וגשרי רשת (שמטרתם להחליף iptables, ip6table, arptables ו-ebtables). במקביל, פורסמה השחרור של הספרייה הנלווית libnftnl 1.2.0, המספקת API ברמה נמוכה לאינטראקציה עם תת-המערכת nf_tables. השינויים הנדרשים כדי שהגרסה של nftables 0.9.9 תעבוד כלולים בליבת לינוקס 5.13-rc1.

חבילת nftables כוללת רכיבי מסנן מנות הפועלים בחלל המשתמש, בעוד שהעבודה ברמת הליבה מסופקת על ידי תת-המערכת nf_tables, שהייתה חלק מליבת לינוקס מאז גרסה 3.13. רמת הקרנל מספקת רק ממשק גנרי בלתי תלוי בפרוטוקול המספק פונקציות בסיסיות לחילוץ נתונים ממנות, ביצוע פעולות נתונים ובקרת זרימה.

כללי הסינון עצמם והמטפלים הספציפיים לפרוטוקול מורכבים לתוך bytecode של מרחב המשתמש, ולאחר מכן קוד בית זה נטען לתוך הליבה באמצעות ממשק Netlink ומבוצע בקרנל במכונה וירטואלית מיוחדת הדומה ל-BPF (Berkeley Packet Filters). גישה זו מאפשרת להקטין משמעותית את גודל קוד הסינון הפועל ברמת הקרנל ולהעביר את כל הפונקציות של חוקי הניתוח וההיגיון של עבודה עם פרוטוקולים למרחב המשתמש.

חידושים עיקריים:

• הוטמעה היכולת להעביר את עיבוד טבלת הזרימה לצד מתאם הרשת, מופעלת באמצעות הדגל 'offload'. Flowtable הוא מנגנון לאופטימיזציה של נתיב הפניית החבילות, שבו המעבר המלא של כל שרשראות עיבוד הכללים מוחל רק על החבילה הראשונה, וכל שאר החבילות בזרימה מועברות ישירות. table ip global { flowtable f { hook ingress priority filter + 1 devices = { lan3, lan0, wan } flags offload } chain forward { type filter hook forward priority filter; קבלת מדיניות; ip protocol { tcp, udp } flow add @f } chain post { type nat hook postrouting priority filter; קבלת מדיניות; oifname "wan" מסכת } }
• נוספה תמיכה בצירוף דגל בעלים לטבלה כדי להבטיח שימוש בלעדי בטבלה על ידי תהליך. כאשר תהליך מסתיים, הטבלה המשויכת אליו נמחקת אוטומטית. מידע על התהליך מוצג ב-regels dump בצורה של הערה: table ip x { # progname nft flags owner chain y { type filter hook input priority filter; קבלת מדיניות; מנות מונה 1 בתים 309 } }
• נוספה תמיכה במפרט IEEE 802.1ad (VLAN stacking או QinQ), המגדיר אמצעי להחלפת תגי VLAN מרובים למסגרת Ethernet אחת. לדוגמה, כדי לבדוק את סוג מסגרת Ethernet חיצונית 8021ad ו-vlan id=342, אתה יכול להשתמש במבנה ... ether type 802.1ad vlan id 342 כדי לבדוק את הסוג החיצוני של מסגרת Ethernet 8021ad/vlan id=1, מקוננת 802.1 q/vlan id=2 ועוד מעטפת מנות IP: ... ether type 8021ad vlan id 1 vlan type 8021q vlan id 2 vlan type ip counter
• נוספה תמיכה בניהול משאבים באמצעות ההיררכיה המאוחדת cgroups v2. ההבדל העיקרי בין cgroups v2 ו- v1 הוא השימוש בהיררכיית cgroups משותפת עבור כל סוגי המשאבים, במקום היררכיות נפרדות להקצאת משאבי CPU, לוויסות צריכת זיכרון ועבור I/O. לדוגמה, כדי לבדוק אם האב הקדמון של שקע ברמה הראשונה cgroupv2 מתאים למסכת "system.slice", אתה יכול להשתמש במבנה: ... socket cgroupv2 level 1 "system.slice"
• נוספה היכולת לבדוק רכיבים של מנות SCTP (הפונקציונליות הנדרשת לכך תופיע בליבת לינוקס 5.14). לדוגמה, כדי לבדוק אם חבילה מכילה נתח עם הסוג 'נתונים' ושדה 'סוג': ... קיים נתוני chunk sctp ... סוג נתוני sctp chunk 0
• ביצוע פעולת טעינת הכלל הואץ בערך פי שניים באמצעות הדגל "-f". גם הפלט של רשימת הכללים הואץ.
• מסופק טופס קומפקטי לבדיקה אם סיביות דגל מוגדרות. לדוגמה, כדי לבדוק שסיביות מצב ה-snat וה-dnat אינם מוגדרים, ניתן לציין: ... ct status ! snat,dnat כדי לבדוק שה-syn bit מוגדר ב-bitmask syn,ack: ... tcp flags syn / syn,ack כדי לבדוק שה-fin וה-rst bits אינם מוגדרים ב-bitmask syn,ack,fin,rst: ... tcp flags ! = fin,rst / syn,ack,fin,rst
• אפשר את מילת המפתח "פסק דין" בהגדרות מסוג סט/מפה: הוסף מפה xm { סוג של iifname . פרוטוקול ip דפורט ה': פסק דין;}

מקור: OpenNet.ru