nftables პაკეტის ფილტრის გამოშვება 0.9.4

გამოქვეყნდა პაკეტის ფილტრის გათავისუფლება nftables 0.9.4, ვითარდება, როგორც iptables, ip6table, arptables და ebtables ჩანაცვლება IPv4, IPv6, ARP და ქსელური ხიდების პაკეტების ფილტრაციის ინტერფეისების გაერთიანებით. nftables პაკეტი მოიცავს პაკეტის ფილტრის კომპონენტებს, რომლებიც მუშაობს მომხმარებლის სივრცეში, ხოლო ბირთვის დონის მუშაობას უზრუნველყოფს nf_tables ქვესისტემა, რომელიც Linux kernel-ის ნაწილია 3.13 გამოშვების შემდეგ. nftables 0.9.4-ის მუშაობისთვის აუცილებელი ცვლილებები შედის ბირთვის მომავალ ფილიალში. Linux 5.6.

ბირთვის დონე უზრუნველყოფს მხოლოდ ზოგად პროტოკოლისგან დამოუკიდებელ ინტერფეისს, რომელიც უზრუნველყოფს ძირითად ფუნქციებს პაკეტებიდან მონაცემების ამოსაღებად, მონაცემთა ოპერაციების შესასრულებლად და ნაკადის კონტროლისთვის. ფილტრაციის წესები და პროტოკოლის სპეციფიკური დამმუშავებლები შედგენილია მომხმარებლის სივრცეში ბაიტეკოდში, რის შემდეგაც ეს ბაიტი იტვირთება ბირთვში Netlink ინტერფეისის გამოყენებით და შესრულებულია ბირთვში სპეციალურ ვირტუალურ მანქანაში, რომელიც მოგვაგონებს BPF-ს (Berkeley Packet Filters). ეს მიდგომა საშუალებას გაძლევთ მნიშვნელოვნად შეამციროთ ბირთვის დონეზე გაშვებული ფილტრაციის კოდის ზომა და გადაიტანოთ პროტოკოლებთან მუშაობის წესებისა და ლოგიკის ყველა ფუნქცია მომხმარებლის სივრცეში.

ძირითადი ინოვაციები:

• დიაპაზონების მხარდაჭერა კავშირებში (შეერთება, მისამართების გარკვეული ნაკრები და პორტები, რომლებიც ამარტივებს შედარებას). მაგალითად, ნაკრებისთვის "თეთრი სია", რომლის ელემენტებიც არის დანართი, "ინტერვალის" დროშის მითითება მიუთითებს, რომ ნაკრები შეიძლება შეიცავდეს დიაპაზონებს დანართში (დანართისთვის "ipv4_addr . ipv4_addr . inet_service" ადრე შესაძლებელი იყო ზუსტი ჩამოთვლა ემთხვევა ფორმის "192.168.10.35. 192.68.11.123" და ახლა შეგიძლიათ მიუთითოთ მისამართების ჯგუფები "80-192.168.10.35-192.168.10.40"):

  მაგიდა ip foo {
  თეთრი სიის დაყენება {
  აკრიფეთ ipv4_addr. ipv4_addr. inet_service
  დროშების ინტერვალი
  ელემენტები = {192.168.10.35-192.168.10.40. 192.68.11.123-192.168.11.125. 80}
  }

  ჯაჭვის ზოლი {
  ტიპის filter hook prerouting პრიორიტეტული ფილტრი; პოლიტიკის ვარდნა;
  ip sadr. ip daddr. tcp dport @whitelist მიღება
  }
  }

• კომპლექტებში და რუქების სიებში შესაძლებელია გამოიყენოთ დირექტივა "typeof", რომელიც განსაზღვრავს ელემენტის ფორმატს დამთხვევისას.
  მაგალითად:

  მაგიდა ip foo {
  თეთრი სიის დაყენება {
  IP ტიპის Saddr
  ელემენტები = {192.168.10.35, 192.168.10.101, 192.168.10.135 }
  }

  ჯაჭვის ზოლი {
  ტიპის filter hook prerouting პრიორიტეტული ფილტრი; პოლიტიკის ვარდნა;
  ip daddr @whitelist მიღება
  }
  }

  მაგიდა ip foo {
  რუკა adr2mark {
  IP saddr-ის ტიპი: მეტა ნიშანი
  ელემენტები = {192.168.10.35: 0x00000001, 192.168.10.135: 0x00000002 }
  }
  }

• დამატებულია შეერთების გამოყენების შესაძლებლობა NAT კავშირებში, რაც საშუალებას გაძლევთ მიუთითოთ მისამართი და პორტი NAT ტრანსფორმაციების განსაზღვრისას რუქების სიებზე ან დასახელებულ კომპლექტებზე დაყრდნობით:

  nft დაამატეთ წესი ip nat pre dnat ip addr. პორტი ip-ზე saddr რუკა {1.1.1.1: 2.2.2.2. ოცდაათი}

  nft დაამატეთ რუკა ip nat მიმართულებები { აკრიფეთ ipv4_addr . inet_service: ipv4_addr. inet_service \\; }
  nft დაამატეთ წესი ip nat pre dnat ip addr. პორტი ip saddr-ზე. tcp dport რუკა @destinations

• ტექნიკის აჩქარების მხარდაჭერა ქსელის ბარათის მიერ განხორციელებული ზოგიერთი ფილტრაციის ოპერაციით. აჩქარება ჩართულია ethtool უტილიტის საშუალებით („ethtool -K eth0 hw-tc-offload ჩართულია“), რის შემდეგაც ის გააქტიურებულია nftables-ში ძირითადი ჯაჭვისთვის „offload“ დროშის გამოყენებით. Linux kernel 5.6-ის გამოყენებისას, ტექნიკის აჩქარება მხარდაჭერილია სათაურის ველის შესატყვისად და შემომავალი ინტერფეისის შემოწმებისთვის პაკეტების მიღებასთან, გაუქმებასთან, დუბლირებასთან (dup) და გადაგზავნასთან (fwd) კომბინაციაში. ქვემოთ მოცემულ მაგალითში, 192.168.30.20 მისამართიდან მომდინარე პაკეტების ჩამოგდების ოპერაციები შესრულებულია ქსელის ბარათის დონეზე, პაკეტების ბირთვში გადაცემის გარეშე:

  # cat file.nft
  მაგიდა netdev x {
  ჯაჭვი y {
  ტიპის ფილტრის კაუჭის შესასვლელი მოწყობილობა eth0 პრიორიტეტი 10; დროშების გადმოტვირთვა;
  ip saddr 192.168.30.20 ჩამოაგდეს
  }
  }
  # nft -f ფაილი.nft

• გაუმჯობესებული ინფორმაცია წესებში შეცდომის ადგილმდებარეობის შესახებ.

  # nft წაშლის წესი ip yz სახელური 7
  შეცდომა: წესის დამუშავება ვერ მოხერხდა: ასეთი ფაილი ან დირექტორია არ არის
  წაშალე წესი ip yz სახელური 7
  ^

  # nft წაშლის წესი ip xx სახელური 7
  შეცდომა: წესის დამუშავება ვერ მოხერხდა: ასეთი ფაილი ან დირექტორია არ არის
  წაშალე წესი ip xx handle 7
  ^

  # nft წაშალე ცხრილი twst
  შეცდომა: ასეთი ფაილი ან დირექტორია არ არის; ცხრილის ტესტს გულისხმობ ოჯახის IP-ში?
  ცხრილის წაშლა twst
  ^^^^

  პირველი მაგალითი გვიჩვენებს, რომ ცხრილი „y“ არ არის სისტემაში, მეორე, რომ აკლია „7“ დამმუშავებელი და მესამე, რომ ცხრილის სახელის აკრეფისას ნაჩვენებია typo prompt.

• დამატებულია მხარდაჭერა slave ინტერფეისის შესამოწმებლად "meta sdif" ან "meta sdifname" მითითებით:

  ... meta sdifname vrf1 ...

• დამატებულია მხარდაჭერა მარჯვენა ან მარცხნივ ცვლის ოპერაციებისთვის. მაგალითად, არსებული პაკეტის იარლიყის გადატანა 1 ბიტით მარცხნივ და მცირე ბიტის დაყენება 1-ზე:

  … მეტა ნიშნის ნაკრები მეტა ნიშნის lshift 1 ან 0x1…

• განხორციელებული "-V" ოფცია გაფართოებული ვერსიის ინფორმაციის საჩვენებლად.

  # nft -V
  nftables v0.9.4 (Jive at Five)
  cli: readline
  json: დიახ
  minigmp: არა
  libxtables: დიახ

• ბრძანების ხაზის პარამეტრები ახლა უნდა იყოს მითითებული ბრძანებების წინ. მაგალითად, თქვენ უნდა მიუთითოთ „nft -a list ruleset“ და გაშვება „nft list ruleset -a“ გამოიწვევს შეცდომას.

  წყარო: opennet.ru