nftables პაკეტის ფილტრის გამოშვება 1.0.7

გამოქვეყნდა პაკეტის ფილტრის nftables 1.0.7 გამოშვება, რომელიც აერთიანებს პაკეტების ფილტრაციის ინტერფეისებს IPv4, IPv6, ARP და ქსელის ხიდებისთვის (მიზნად ისახავს iptables, ip6table, arptables და ebtables ჩანაცვლებას). nftables პაკეტი მოიცავს პაკეტის ფილტრის კომპონენტებს, რომლებიც მუშაობს მომხმარებლის სივრცეში, ხოლო ბირთვის დონის მუშაობას უზრუნველყოფს nf_tables ქვესისტემა, რომელიც Linux kernel-ის ნაწილია 3.13 გამოშვების შემდეგ. ბირთვის დონე უზრუნველყოფს მხოლოდ ზოგად პროტოკოლისგან დამოუკიდებელ ინტერფეისს, რომელიც უზრუნველყოფს პაკეტებიდან მონაცემების ამოღების, მონაცემთა ოპერაციების შესრულებისა და ნაკადის კონტროლის ძირითად ფუნქციებს.

ფილტრაციის წესები და პროტოკოლის სპეციფიკური დამმუშავებლები შედგენილია მომხმარებლის სივრცეში ბაიტეკოდში, რის შემდეგაც ეს ბაიტი იტვირთება ბირთვში Netlink ინტერფეისის გამოყენებით და შესრულებულია ბირთვში სპეციალურ ვირტუალურ მანქანაში, რომელიც მოგვაგონებს BPF-ს (Berkeley Packet Filters). ეს მიდგომა საშუალებას გაძლევთ მნიშვნელოვნად შეამციროთ ბირთვის დონეზე გაშვებული ფილტრაციის კოდის ზომა და გადაიტანოთ პროტოკოლებთან მუშაობის წესებისა და ლოგიკის ყველა ფუნქცია მომხმარებლის სივრცეში.

ძირითადი ცვლილებები:

• სისტემებისთვის, რომლებიც მუშაობენ Linux kernel 6.2+-ზე, დაემატა vxlan, geneve, gre და gretap პროტოკოლის რუკების მხარდაჭერა, რაც საშუალებას აძლევს მარტივ გამონათქვამებს შეამოწმონ სათაურები დახურულ პაკეტებში. მაგალითად, VxLAN-დან ჩადგმული პაკეტის სათაურში IP მისამართის შესამოწმებლად, ახლა შეგიძლიათ გამოიყენოთ წესები (უპირველეს ყოვლისა VxLAN სათაურის დეინკაფსულაციის და ფილტრის vxlan0 ინტერფეისთან დაკავშირების საჭიროების გარეშე): ... udp dport 4789 vxlan ip პროტოკოლი udp ... udp dport 4789 vxlan ip saddr 1.2.3.0. 24/4789 ... udp dport 1.2.3.4 vxlan ip saddr. vxlan ip daddr {4.3.2.1. XNUMX }
• დანერგილია ნარჩენების ავტომატური გაერთიანების მხარდაჭერა set-list ელემენტის ნაწილობრივი წაშლის შემდეგ, რაც საშუალებას გაძლევთ წაშალოთ ელემენტი ან დიაპაზონის ნაწილი არსებული დიაპაზონიდან (ადრე დიაპაზონი მხოლოდ მთლიანად წაიშლებოდა). მაგალითად, 25-ე ელემენტის ამოღების შემდეგ ნაკრები სიიდან 24-30 და 40-50 დიაპაზონებით, სია დარჩება 24, 26-30 და 40-50. ავტომატური შერწყმისთვის სამუშაოდ საჭირო შესწორებები შემოთავაზებული იქნება 5.10+ ბირთვის სტაბილური ფილიალების ტექნიკური გამოშვებებში. # nft სია წესების ცხრილი ip x { კომპლექტი y { tcp dport flags ინტერვალის ელემენტების ავტომატური შერწყმა = { 24-30, 40-50 } } } # nft წაშალე ელემენტი ip xy { 25 } # nft სია წესების ნაკრების ცხრილი ip x { კომპლექტი y { tcp dport flags ინტერვალის ელემენტების ავტომატური შერწყმის ტიპი = {24, 26-30, 40-50 } }
• ნებას რთავს კონტაქტებისა და დიაპაზონების გამოყენებას მისამართის თარგმანის (NAT) რუკების შედგენისას. ცხრილი ip nat { chain prerouting { type nat hook prerouting priority dstnat; პოლიტიკის მიღება; dnat to ip daddr. tcp dport რუკა {10.1.1.136. 80: 1.1.2.69. 1024, 10.1.1.10-10.1.1.20 წ. 8888-8889: 1.1.2.69. 2048-2049 } მუდმივი } }
• დამატებულია მხარდაჭერა "ბოლო" გამოხატვისთვის, რომელიც საშუალებას გაძლევთ გაარკვიოთ წესების ელემენტის ან ნაკრების სიის ბოლო გამოყენების დრო. ფუნქცია მხარდაჭერილია Linux kernel 5.14-ით დაწყებული. ცხრილი ip x { კომპლექტი y { ip daddr ტიპი. tcp dport ზომა 65535 flags დინამიური, დროის ამოწურვა ბოლო დროის ამოწურვა 1h } chain z { type filter hook output priority filter; პოლიტიკის მიღება; განახლება @y { ip daddr. tcp dport } } } # nft list set ip xy table ip x { set y { typeof ip daddr . tcp dport ზომა 65535 flags დინამიური, ვადის ამოწურვა ბოლო დროის ამოწურვა 1h ელემენტები = { 172.217.17.14 . 443 ბოლოს გამოყენებული 1s591ms ვადა 1სთ იწურება 59m58s409ms, 172.67.69.19 . 443 ბოლოს გამოყენებული 4s636ms ვადა 1სთ იწურება 59m55s364ms, 142.250.201.72 . 443 ბოლოს გამოყენებული 4s748ms ვადა 1სთ იწურება 59m55s252ms, 172.67.70.134 . 443 ბოლოს გამოყენებული 4s688ms ვადა 1სთ იწურება 59m55s312ms, 35.241.9.150 . 443 ბოლოს გამოყენებული 5s204ms ვადა 1სთ იწურება 59m54s796ms, 138.201.122.174 . 443 ბოლოს გამოყენებული 4s537ms ვადა 1სთ იწურება 59m55s463ms, 34.160.144.191 . 443 ბოლოს გამოყენებული 5s205ms ვადა 1სთ იწურება 59m54s795ms, 130.211.23.194 . 443 ბოლოს გამოყენებული 4s436ms ვადა 1სთ იწურება 59m55s564ms } } }
• დამატებულია კვოტების განსაზღვრის შესაძლებლობა კომპლექტებში. მაგალითად, თითოეული სამიზნე IP მისამართისთვის ტრაფიკის კვოტის დასადგენად, შეგიძლიათ მიუთითოთ: table netdev x { set y { typeof ip daddr size 65535 quota over 10000mbytes } chain y { type filter hook egress device "eth0" priority filter; პოლიტიკის მიღება; ip daddr @y drop } } # nft დაამატეთ ელემენტი inet xy { 8.8.8.8 } # ping -c 2 8.8.8.8 # nft list წესების ცხრილი netdev x { set y { type ipv4_addr ზომა 65535 კვოტა 10000 მბაიტზე მეტი = 8.8.8.8 mbytes ელემენტი. გამოყენებულია 10000 კვოტა 196 მბაიტზე მეტი 0 ბაიტი } } chain y { type filter hook egress device “ethXNUMX” პრიორიტეტული ფილტრი; პოლიტიკის მიღება; ip daddr @y drop } }
• ნებადართულია მუდმივების გამოყენება კომპლექტების სიებში. მაგალითად, დანიშნულების მისამართის და VLAN ID-ის გამოყენებისას სიის კლავიშად, შეგიძლიათ პირდაპირ მიუთითოთ VLAN ნომერი (daddr . 123): table netdev t { set s { typeof ether saddr . vlan id ზომა 2048 დროშები დინამიური, დროის ამოწურვის დრო 1 მ } ჯაჭვი c { ტიპის ფილტრის კაუჭის შეღწევის მოწყობილობა eth0 პრიორიტეტი 0; პოლიტიკის მიღება; ეთერის ტიპი != 8021q განახლება @s { ether daddr . 123 } მრიცხველი } }
• დამატებულია ახალი "Destroy" ბრძანება ობიექტების უპირობოდ წასაშლელად (განსხვავებით delete ბრძანებისგან, ის არ წარმოქმნის ENOENT-ს დაკარგული ობიექტის წაშლის მცდელობისას). სამუშაოსთვის საჭიროა მინიმუმ Linux kernel 6.3-rc. ცხრილის IP ფილტრის განადგურება

წყარო: opennet.ru