מהדורת מסנן מנות nftables 1.0.7

פורסמה מהדורת מסנן המנות nftables 1.0.7, המאחדת ממשקי סינון מנות עבור IPv4, IPv6, ARP וגשרי רשת (שמטרתם להחליף iptables, ip6table, arptables ו-ebtables). חבילת nftables כוללת רכיבי מסנן מנות הפועלים בחלל המשתמש, בעוד שרמת הליבה מסופקת על ידי תת-המערכת nf_tables, שהייתה חלק מליבת לינוקס מאז גרסה 3.13. ברמת הקרנל, מסופק רק ממשק גנרי בלתי תלוי בפרוטוקול המספק פונקציות בסיסיות לחילוץ נתונים ממנות, ביצוע פעולות על נתונים ושליטה בזרימה.

כללי הסינון עצמם והמטפלים הספציפיים לפרוטוקול מורכבים לתוך bytecode של מרחב המשתמש, ולאחר מכן קוד בית זה נטען לתוך הליבה באמצעות ממשק Netlink ומבוצע בקרנל במכונה וירטואלית מיוחדת הדומה ל-BPF (Berkeley Packet Filters). גישה זו מאפשרת להקטין משמעותית את גודל קוד הסינון הפועל ברמת הקרנל ולהעביר את כל הפונקציות של חוקי הניתוח וההיגיון של עבודה עם פרוטוקולים למרחב המשתמש.

שינויים עיקריים:

• עבור מערכות המרצות את ליבת לינוקס 6.2+, נוספה תמיכה במיפויי פרוטוקול vxlan, geneve, gre ו-gretap, המאפשרת לביטויים פשוטים לבדוק כותרות במנות מובלעות. לדוגמה, כדי לבדוק את כתובת ה-IP בכותרת של חבילה מקוננת מ-VxLAN, אתה יכול כעת להשתמש בכללים (ללא צורך ב-de-encapsulation של כותרת VxLAN ולאגד את המסנן לממשק vxlan0): ... udp dport 4789 vxlan ip protocol udp ... udp dport 4789 vxlan ip saddr 1.2.3.0. 24/4789 ... udp dport 1.2.3.4 vxlan ip saddr . vxlan ip daddr { 4.3.2.1. XNUMX }
• תמיכה במיזוג אוטומטי של שאריות לאחר שהוטמעה מחיקה חלקית של רכיב סט-ליסט, המאפשרת למחוק אלמנט או חלק מטווח מטווח קיים (בעבר ניתן היה למחוק רק טווח לחלוטין). לדוגמה, לאחר הסרת רכיב 25 מרשימת סט עם טווחים 24-30 ו-40-50, הרשימה תישאר 24, 26-30 ו-40-50. התיקונים הנדרשים למיזוג אוטומטי לעבודה יוצעו במהדורות תחזוקה של הענפים היציבים של ליבת 5.10+. # nft list set rule table ip x { set y { typeof tcp dport flags interval auto-merge elements = { 24-30, 40-50 } } # nft delete element ip xy { 25 } # nft list rulet table ip x { set y { typeof tcp dport flags interval auto-merge elements = { 24, 26-30, 40-50 } } }
• מאפשר שימוש באנשי קשר וטווחים בעת מיפוי תרגום כתובות (NAT). table ip nat { chain prerouting { type nat hook prerouting priority dstnat; קבלת מדיניות; dnat ל-ip daddr. tcp dport map { 10.1.1.136. 80: 1.1.2.69. 1024, 10.1.1.10-10.1.1.20. 8888-8889: 1.1.2.69. 2048-2049 } מתמשך } }
• נוספה תמיכה בביטוי "האחרון", המאפשר לך לגלות את זמן השימוש האחרון ברכיב כלל או ברשימת סט. התכונה נתמכת החל מגרסת Linux 5.14. table ip x { set y { typeof ip daddr . tcp dport size 65535 flags dynamic, timeout פסק זמן אחרון 1h } chain z { סוג פילטר הוק פלט עדיפות מסנן; קבלת מדיניות; עדכן @y { ip daddr. tcp dport } } } # nft list set ip xy table ip x { set y { typeof ip daddr . tcp dport size 65535 flags dynamic, timeout last timeout 1h elements = { 172.217.17.14 . 443 שימוש אחרון 1s591ms פסק זמן 1h יפוג 59m58s409ms, 172.67.69.19. 443 פסק זמן בשימוש אחרון של 4s636ms שעה אחת יפוג 1m59s55ms, 364. 142.250.201.72 פסק זמן בשימוש אחרון של 443s4ms שעה אחת יפוג 748m1s59ms, 55. 252 פסק זמן בשימוש אחרון של 172.67.70.134s443ms שעה אחת יפוג 4m688s1ms, 59. 55 שימוש אחרון 312s35.241.9.150ms פסק זמן 443h יפוג 5m204s1ms, 59. 54 פסק זמן בשימוש אחרון של 796s138.201.122.174ms שעה אחת יפוג 443m4s537ms, 1. 59 שימוש אחרון 55s463ms פסק זמן 34.160.144.191h יפוג 443m5s205ms, 1. 59 שימוש אחרון 54s795ms פסק זמן 130.211.23.194h פגה 443m4s436ms } } }
• נוספה את היכולת להגדיר מכסות ברשימות סט. לדוגמה, כדי לקבוע את מכסת התעבורה עבור כל כתובת IP יעד, אתה יכול לציין: table netdev x { set y { typeof ip daddr size 65535 quota over 10000 mbytes } chain y { type filter hook egress device "eth0" priority filter; קבלת מדיניות; ip daddr @y drop } } # nft הוסף אלמנט inet xy { 8.8.8.8 } # ping -c 2 8.8.8.8 # nft list set rulet table netdev x { set y { type ipv4_addr size 65535 quota over 10000 mbytes elements = { 8.8.8.8 מכסה מעל 10000 מגה בייט בשימוש 196 בתים } } שרשרת y { סוג מסנן התקן יציאת התקן "eth0" בעדיפות; קבלת מדיניות; ip daddr @y drop } }
• מותר להשתמש בקבועים ברשימות סטים. לדוגמה, בעת שימוש בכתובת היעד וב-VLAN ID כמפתח הרשימה, תוכל לציין ישירות את מספר ה-VLAN (daddr . 123): table netdev t { set s { typeof ether saddr . מזהה vlan גודל 2048 דגלים דינמיים, זמן קצוב זמן קצוב 1m } שרשרת c { סוג מסנן התקן כניסה eth0 עדיפות 0; קבלת מדיניות; ether type != 8021q update @s { ether daddr. 123 } מונה } }
• נוספה פקודת "הרוס" חדשה למחיקת אובייקטים ללא תנאי (בניגוד לפקודת המחיקה, היא לא יוצרת ENOENT כאשר מנסים למחוק אובייקט חסר). דורש לפחות ליבת Linux 6.3-rc כדי לעבוד. להרוס את מסנן ה-IP של הטבלה

מקור: OpenNet.ru