מהדורת מסנן מנות nftables 1.0.6

פורסמה מהדורת מסנן המנות nftables 1.0.6, המאחדת ממשקי סינון מנות עבור IPv4, IPv6, ARP וגשרי רשת (שמטרתם להחליף iptables, ip6table, arptables ו-ebtables). חבילת nftables כוללת רכיבי מסנן מנות הפועלים בחלל המשתמש, בעוד שרמת הליבה מסופקת על ידי תת-המערכת nf_tables, שהייתה חלק מליבת לינוקס מאז גרסה 3.13. ברמת הקרנל, מסופק רק ממשק גנרי בלתי תלוי בפרוטוקול המספק פונקציות בסיסיות לחילוץ נתונים ממנות, ביצוע פעולות על נתונים ושליטה בזרימה.

כללי הסינון עצמם והמטפלים הספציפיים לפרוטוקול מורכבים לתוך bytecode של מרחב המשתמש, ולאחר מכן קוד בית זה נטען לתוך הליבה באמצעות ממשק Netlink ומבוצע בקרנל במכונה וירטואלית מיוחדת הדומה ל-BPF (Berkeley Packet Filters). גישה זו מאפשרת להקטין משמעותית את גודל קוד הסינון הפועל ברמת הקרנל ולהעביר את כל הפונקציות של חוקי הניתוח וההיגיון של עבודה עם פרוטוקולים למרחב המשתמש.

שינויים עיקריים:

• באופטימיזציית הכללים הנקראת בעת ציון האפשרות "-o/--optimize", הוגדרה אריזה אוטומטית של כללים על ידי שילובם והמרתם לרשימות מפות ו-סט. לדוגמה, הכללים הם # cat ruleset.nft table ip x { chain y { type filter hook input priority filter; ירידת מדיניות; meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 קבל meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4 קבל meta iifname eth1 ip saddr 1.1.1.2 ip סאddr 2.2.3.0 קבל עם. 24 .1 ip daddr 1.1.1.2-2.2.4.0 accept meta iifname eth2.2.4.10 ip saddr 2 ip daddr 1.1.1.3 accept } } לאחר "nft -o -c -f ruleset.nft" יומר לסט הבא: חוקים. nft:2.2.2.5:4-17: meta iifname eth74 ip saddr 1 ip daddr 1.1.1.1 accept ruleset.nft:2.2.2.3:5-17: meta iifname eth74 ip saddr 1 ip daddr 1.1.1.2.nft: accept ruleset 2.2.2.4:6-17: meta iifname eth77 ip saddr 1 ip daddr 1.1.1.2/2.2.3.0 accept ruleset.nft:24:7-17: meta iifname eth83 ip saddr 1 ip daddr 1.1.1.2-2.2.4.0. accept ruleset.nft:2.2.4.10:8-17: meta iifname eth74 ip saddr 2 ip daddr 1.1.1.3 accept into: iifname . ip saddr . ip daddr { eth2.2.2.5. 1. 1.1.1.1, eth2.2.2.3 . 1. 1.1.1.2, eth2.2.2.4 . 1. 1.1.1.2/2.2.3.0, eth24 . 1. 1.1.1.2-2.2.4.0, eth2.2.4.10 . 2. 1.1.1.3 } קבל
• כלי האופטימיזציה יכול גם לרכז כללים שכבר משתמשים ב-setlists פשוטים לצורה קומפקטית יותר, כגון: # cat ruleset.nft table ip filter { chain input { type filter hook input priority filter; ירידת מדיניות; iifname "lo" accept ct state fixed,related accept comment "In traffic we origin, we trust" iifname "enp0s31f6" ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 udp sport 123 udp32768 iifname "enp65535s0f31" ip saddr { 6, 64.59.144.17} ip daddr 64.59.150.133 udp sport 10.0.0.149 udp dport 53-32768 קבל } } לאחר הפעלת "c-ft" חבילה זו - ft יהיה like this : ruleset.nft:65535:6-22: iifname "enp149s0f31" ip saddr { 6, 209.115.181.102 } ip daddr 216.197.228.230 udp sport 10.0.0.149 dnft.123 קבל חוקים 32768 dnft.65535 7 22 : iifname "enp143s0f31" ip saddr { 6, 64.59.144.17 } ip daddr 64.59.150.133 udp sport 10.0.0.149 udp dport 53-32768 accept into: iifname. ip saddr . ip daddr . udp ספורט. udp dport {enp65535s0f31. 6 . 209.115.181.102 . 10.0.0.149 . 123-32768, enp65535s0f31 . 6 . 216.197.228.230 . 10.0.0.149 . 123-32768, enp65535s0f31 . 6. 64.59.144.17 . 10.0.0.149 . 53-32768, enp65535s0f31 . 6. 64.59.150.133 . 10.0.0.149 . 53-32768 } קבל
• פתר בעיה עם יצירת קוד בתים למיזוג מרווחים המשתמשים בסוגים בעלי קצה שונה, כגון IPv4 (אנדיאן רשת) ומטא סימן (אנדיאן מערכת). table ip x { map w { typeof ip saddr . מטא סימן: רכיבי מונה מרווחי פסק דין מדגים = {127.0.0.1-127.0.0.4. 0x123434-0xb00122 : קבל, 192.168.0.10-192.168.1.20 . 0x0000aa00-0x0000aaff : accept, } } chain k { type filter hook input priority filter; ירידת מדיניות; ip saddr. מטא סימן vmap @w } }
• מיפויי פרוטוקול נדירים משופרים בעת שימוש בביטויים גולמיים, לדוגמה: meta l4proto 91 @th,400,16 0x0 accept
• תיקנו בעיות עם הפעלת כללים במרווחים: הוסף כלל xy tcp sport { 3478-3497, 16384-16387 } counter accept
• ה-API של JSON שופר כדי לתמוך בביטויים ברשימות סט ומפות.
• בהרחבות לספריית nftables python, מותר לטעון ערכות כללים לעיבוד במצב צ'ק ("-c") ונוספה תמיכה בהגדרת משתנה חיצוני.
• הוספת הערות מותרת באלמנטים של סט-ליסטים.
• מותר לציין ערך אפס ב-byte ratelimit.

מקור: OpenNet.ru