nftables პაკეტის ფილტრის გამოშვება 1.0.6

გამოქვეყნდა პაკეტის ფილტრის nftables 1.0.6 გამოშვება, რომელიც აერთიანებს პაკეტების ფილტრაციის ინტერფეისებს IPv4, IPv6, ARP და ქსელის ხიდებისთვის (მიზნად ისახავს iptables, ip6table, arptables და ebtables ჩანაცვლებას). nftables პაკეტი მოიცავს პაკეტის ფილტრის კომპონენტებს, რომლებიც მუშაობს მომხმარებლის სივრცეში, ხოლო ბირთვის დონის მუშაობას უზრუნველყოფს nf_tables ქვესისტემა, რომელიც Linux kernel-ის ნაწილია 3.13 გამოშვების შემდეგ. ბირთვის დონე უზრუნველყოფს მხოლოდ ზოგად პროტოკოლისგან დამოუკიდებელ ინტერფეისს, რომელიც უზრუნველყოფს პაკეტებიდან მონაცემების ამოღების, მონაცემთა ოპერაციების შესრულებისა და ნაკადის კონტროლის ძირითად ფუნქციებს.

ფილტრაციის წესები და პროტოკოლის სპეციფიკური დამმუშავებლები შედგენილია მომხმარებლის სივრცეში ბაიტეკოდში, რის შემდეგაც ეს ბაიტი იტვირთება ბირთვში Netlink ინტერფეისის გამოყენებით და შესრულებულია ბირთვში სპეციალურ ვირტუალურ მანქანაში, რომელიც მოგვაგონებს BPF-ს (Berkeley Packet Filters). ეს მიდგომა საშუალებას გაძლევთ მნიშვნელოვნად შეამციროთ ბირთვის დონეზე გაშვებული ფილტრაციის კოდის ზომა და გადაიტანოთ პროტოკოლებთან მუშაობის წესებისა და ლოგიკის ყველა ფუნქცია მომხმარებლის სივრცეში.

ძირითადი ცვლილებები:

• წესების ოპტიმიზატორს, რომელსაც ეძახიან, როდესაც მითითებულია "-o/-optimize" ოფცია, აქვს წესების ავტომატური შეფუთვა მათი კომბინაციით და გადაქცევით რუქაზე და კომპლექტის სიებში. მაგალითად, წესები # cat ruleset.nft ცხრილი ip x { chain y { type filter hook input priority filter; პოლიტიკის ვარდნა; meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 მიიღე meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4 მიიღე meta iifname eth1 ip saddr 1.1.1.2. ip sadr 2.2.3.0 .24 ip daddr 1-1.1.1.2 მიიღეთ meta iifname eth2.2.4.0 ip saddr 2.2.4.10 ip daddr 2 მიიღეთ } } "nft -o -c -f ruleset.nft"-ის შესრულების შემდეგ გადაიქცევა შემდეგნაირად. nft:1.1.1.3:2.2.2.5-4: meta iifname eth17 ip saddr 74 ip daddr 1 მიიღეთ წესები.nft:1.1.1.1:2.2.2.3-5: meta iifname eth17 ip saddr 74 ip daddr.1. : 1.1.1.2:2.2.2.4-6: meta iifname eth17 ip saddr 77 ip daddr 1/1.1.1.2 მიიღე წესები.nft:2.2.3.0:24-7: meta iifname eth17 ip saddr 83 ip daddr 1/1.1.1.2. მიიღეთ წესები.nft:2.2.4.0:2.2.4.10-8: meta iifname eth17 ip saddr 74 ip daddr 2 მიღება: iifname . ip sadr. ip daddr { eth1.1.1.3. 2.2.2.5. 1, eth1.1.1.1. 2.2.2.3. 1, eth1.1.1.2. 2.2.2.4. 1/1.1.1.2, eth2.2.3.0. 24. 1-1.1.1.2, eth2.2.4.0. 2.2.4.10. 2 } მიღება
• ოპტიმიზატორს ასევე შეუძლია დააკონვერტიროს წესები, რომლებიც უკვე იყენებს მარტივ კომპაქტურ სიებს, მაგალითად, წესები: # cat ruleset.nft table ip filter { chain input { type filter hook input priority filter; პოლიტიკის ვარდნა; iifname „lo“ მიღება ct მდგომარეობა შეიქმნა, დაკავშირებული მიღება კომენტარი „ტრაფიკში ჩვენ წარმოიქმნება, ჩვენ ვენდობით“ iifname „enp0s31f6“ ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149ud123p.32768 მიღება iifname "enp65535s0f31" ip saddr { 6, 64.59.144.17 } ip daddr 64.59.150.133 udp sport 10.0.0.149 udp dport 53-32768 იქნება მიღებული -exeftnc-ის შემდეგ წესები ს : ruleset.nft:65535:6-22: iifname "enp149s0f31" ip saddr { 6, 209.115.181.102 } ip daddr 216.197.228.230 udp 10.0.0.149p sport 123ft :32768-65535 7 : iifname "enp22s143f0" ip saddr { 31, 6 } ip daddr 64.59.144.17 udp sport 64.59.150.133 udp dport 10.0.0.149-53 მიღება: ip sadr. ip daddr. udp სპორტი. udp dport {enp32768s65535f0. 31. 6. 209.115.181.102. 10.0.0.149-123, enp32768s65535f0. 31. 6. 216.197.228.230. 10.0.0.149-123, enp32768s65535f0. 31. 6. 64.59.144.17. 10.0.0.149-53, enp32768s65535f0. 31. 6. 64.59.150.133. 10.0.0.149-53 } მიღება
• მოგვარებულია პრობლემა ბაიტიკოდის გენერირებისთვის იმ ინტერვალების შერწყმისთვის, რომლებიც იყენებენ ტიპებს ბაიტების სხვადასხვა მიმდევრობით, როგორიცაა IPv4 (ქსელის ბაიტების რიგი) და მეტა მარკა (სისტემის ბაიტების რიგი). ცხრილი ip x { რუკა w { ip saddr ტიპი. მეტა ნიშანი: განაჩენის დროშები ინტერვალის მრიცხველი ელემენტები = {127.0.0.1-127.0.0.4. 0x123434-0xb00122: მიღება, 192.168.0.10-192.168.1.20. 0x0000aa00-0x0000aaff : მიღება, } } chain k { type filter hook input priority filter; პოლიტიკის ვარდნა; ip sadr. მეტა მარკა vmap @w } }
• იშვიათი პროტოკოლების გაუმჯობესებული შედარება ნედლეული გამონათქვამების გამოყენებისას, მაგალითად: meta l4proto 91 @th,400,16 0x0 მიღება
• წესების ინტერვალით ჩართვასთან დაკავშირებული პრობლემები მოგვარებულია: ჩადეთ წესი xy tcp sport { 3478-3497, 16384-16387 } counter მიღება
• JSON API გაუმჯობესდა, რათა შეიცავდეს გამონათქვამების მხარდაჭერას კომპლექტებში და რუქების სიებში.
• nftables python ბიბლიოთეკის გაფართოებები იძლევა წესების კომპლექტების ჩატვირთვას ვალიდაციის რეჟიმში დასამუშავებლად ("-c") და დაამატეთ ცვლადების გარე განსაზღვრების მხარდაჭერა.
• კომენტარების დამატება ნებადართულია ნაკრების სიის ელემენტებში.
• ბაიტის სიჩქარის ლიმიტი იძლევა ნულოვანი მნიშვნელობის მითითებას.

წყარო: opennet.ru