ការចេញផ្សាយតម្រងកញ្ចប់ព័ត៌មាន nftables 0.9.1

បន្ទាប់ពីមួយឆ្នាំនៃការអភិវឌ្ឍន៍ បង្ហាញ ការចេញផ្សាយតម្រងកញ្ចប់ nftables 0.9.1ដែលកំពុងអភិវឌ្ឍជាការជំនួសសម្រាប់ iptables, ip6table, arptables និង ebtables ដោយការបង្រួបបង្រួមចំណុចប្រទាក់តម្រងកញ្ចប់សម្រាប់ IPv4, IPv6, ARP និងបណ្តាញស្ពាន។ កញ្ចប់ nftables រួមមានសមាសធាតុតម្រងកញ្ចប់ដែលដំណើរការក្នុងចន្លោះអ្នកប្រើប្រាស់ ខណៈពេលដែលការងារកម្រិតខឺណែលត្រូវបានផ្តល់ដោយប្រព័ន្ធរង nf_tables ដែលជាផ្នែកមួយនៃខឺណែលលីនុចចាប់តាំងពីការចេញផ្សាយ 3.13 ។

កម្រិតខឺណែលផ្តល់តែចំណុចប្រទាក់ឯករាជ្យនៃពិធីការទូទៅដែលផ្តល់មុខងារជាមូលដ្ឋានសម្រាប់ការទាញយកទិន្នន័យពីកញ្ចប់ព័ត៌មាន ប្រតិបត្តិការទិន្នន័យ និងការគ្រប់គ្រងលំហូរ។
តក្កវិជ្ជាត្រងខ្លួនវាផ្ទាល់ និងអ្នកដោះស្រាយពិធីការជាក់លាក់ត្រូវបានចងក្រងជា bytecode ក្នុងចន្លោះអ្នកប្រើប្រាស់ បន្ទាប់មក bytecode នេះត្រូវបានផ្ទុកទៅក្នុងខឺណែលដោយប្រើចំណុចប្រទាក់ Netlink ហើយប្រតិបត្តិក្នុងម៉ាស៊ីននិម្មិតពិសេសដែលនឹកឃើញដល់ BPF (Berkeley Packet Filters)។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកកាត់បន្ថយយ៉ាងខ្លាំងនូវទំហំនៃកូដត្រងដែលកំពុងដំណើរការនៅកម្រិតខឺណែល និងផ្លាស់ទីមុខងារទាំងអស់នៃច្បាប់ញែក និងតក្កវិជ្ជាសម្រាប់ធ្វើការជាមួយពិធីការទៅក្នុងចន្លោះអ្នកប្រើប្រាស់។

ការច្នៃប្រឌិតសំខាន់ៗ៖

• ការគាំទ្រ IPsec ដែលអនុញ្ញាតឱ្យផ្គូផ្គងអាសយដ្ឋានផ្លូវរូងក្រោមដីដោយផ្អែកលើកញ្ចប់ព័ត៌មាន លេខសម្គាល់សំណើ IPsec និងស្លាក SPI (សន្ទស្សន៍ប៉ារ៉ាម៉ែត្រសុវត្ថិភាព) ។ ឧទាហរណ៍,

  ... ipsec ក្នុង ip saddr 192.168.1.0/24
  ... ipsec ក្នុង spi 1-65536

  វាក៏អាចពិនិត្យមើលថាតើផ្លូវមួយឆ្លងកាត់ផ្លូវរូងក្រោមដី IPsec ដែរឬទេ។ ឧទាហរណ៍ ដើម្បីទប់ស្កាត់ចរាចរណ៍មិនតាមរយៈ IPSec៖

  … តម្រងលទ្ធផល rt ipsec បាត់ការធ្លាក់ចុះ

• ការគាំទ្រសម្រាប់ IGMP (ពិធីសារគ្រប់គ្រងក្រុមអ៊ីនធឺណិត) ។ ឧទាហរណ៍ អ្នកអាចប្រើច្បាប់ដើម្បីបោះបង់សំណើសមាជិកភាពក្រុម IGMP ដែលចូលមក

  nft បន្ថែមច្បាប់ netdev foo bar igmp type membership-query counter drop

• លទ្ធភាពនៃការប្រើប្រាស់អថេរដើម្បីកំណត់ខ្សែសង្វាក់អន្តរកាល (លោត / ហ្គោតូ) ។ ឧទាហរណ៍:

  កំណត់ dest = ber
  បន្ថែមក្បួន ip foo bar លោត $dest

• ការគាំទ្រសម្រាប់របាំងដើម្បីកំណត់អត្តសញ្ញាណប្រព័ន្ធប្រតិបត្តិការ (OS Fingerprint) ដោយផ្អែកលើតម្លៃ TTL នៅក្នុងបឋមកថា។ ឧទាហរណ៍ ដើម្បីសម្គាល់កញ្ចប់ព័ត៌មានដោយផ្អែកលើ OS អ្នកផ្ញើ អ្នកអាចប្រើពាក្យបញ្ជា៖

  ... កំណត់សម្គាល់មេតា osf ttl រំលងផែនទីឈ្មោះ { "លីនុច" : 0x1,
  "វីនដូ": 0x2,
  "MacOS": 0x3,
  "មិនស្គាល់"៖ 0x0 }
  ... osf ttl រំលងកំណែ "Linux:4.20"

• សមត្ថភាពក្នុងការផ្គូផ្គងអាសយដ្ឋាន ARP របស់អ្នកផ្ញើនិងអាសយដ្ឋាន IPv4 នៃប្រព័ន្ធគោលដៅ។ ឧទាហរណ៍ ដើម្បីបង្កើនការរាប់នៃកញ្ចប់ ARP ដែលបានផ្ញើពីអាសយដ្ឋាន 192.168.2.1 អ្នកអាចប្រើច្បាប់ខាងក្រោម៖

  តារាង arp x {
  ខ្សែសង្វាក់ y {
  ប្រភេទតម្រង ទំពក់បញ្ចូលតម្រងអាទិភាព; គោលនយោបាយទទួលយក;
  arp saddr ip 192.168.2.1 counter packets 1 bytes 46
  }
  }

• ការគាំទ្រសម្រាប់ការបញ្ជូនបន្តប្រកបដោយតម្លាភាពនៃសំណើតាមរយៈប្រូកស៊ី (tproxy) ។ ឧទាហរណ៍ ដើម្បីប្តូរទិសការហៅទៅកាន់ច្រក 80 ទៅច្រកប្រូកស៊ី 8080៖

  តារាង ip x {
  ខ្សែសង្វាក់ y {
  ប្រភេទតម្រងទំពក់ អាទិភាព -150; គោលនយោបាយទទួលយក;
  tcp dport 80 tproxy ទៅ: 8080
  }
  }

• ការគាំទ្រសម្រាប់ការសម្គាល់រន្ធជាមួយនឹងសមត្ថភាពក្នុងការទទួលបានសញ្ញាកំណត់បន្ថែមទៀតតាមរយៈ setsockopt() នៅក្នុងរបៀប SO_MARK ។ ឧទាហរណ៍:

  តារាង inet x {
  ខ្សែសង្វាក់ y {
  ប្រភេទតម្រងទំពក់ អាទិភាព -150; គោលនយោបាយទទួលយក;
  tcp dport 8080 កំណត់សញ្ញាសម្គាល់រន្ធ
  }
  }

• ការគាំទ្រសម្រាប់ការបញ្ជាក់ឈ្មោះអត្ថបទអាទិភាពសម្រាប់ខ្សែសង្វាក់។ ឧទាហរណ៍:

  nft បន្ថែមខ្សែសង្វាក់ ip x ឆៅ { ប្រភេទនៃតម្រងទំពក់ prerouting អាទិភាពឆៅ; }
  nft បន្ថែមខ្សែសង្វាក់ ip x filter { type filter hook prerouting priority filter; }
  nft បន្ថែមខ្សែសង្វាក់ ip x filter_later { type filter hook prerouting priority filter + 10; }

• ការគាំទ្រសម្រាប់ស្លាក SELinux (Secmark) ។ ឧទាហរណ៍ ដើម្បីកំណត់ស្លាក "sshtag" នៅក្នុងបរិបទ SELinux អ្នកអាចដំណើរការ៖

  nft បន្ថែម secmark inet filter sshtag "system_u:object_r:ssh_server_packet_t:s0"

  ហើយបន្ទាប់មកប្រើស្លាកនេះនៅក្នុងច្បាប់៖

  nft បន្ថែមច្បាប់ inet filter input tcp dport 22 meta secmark set “sshtag”

  nft បន្ថែមផែនទី inet filter secmapping { type inet_service : secmark; }
  nft បន្ថែមធាតុ inet filter secmapping { 22 : "sshtag" }
  nft បន្ថែមច្បាប់ inet filter បញ្ចូល meta secmark កំណត់ tcp dport map @secmapping

• សមត្ថភាពក្នុងការបញ្ជាក់ច្រកដែលបានកំណត់ទៅពិធីការក្នុងទម្រង់អត្ថបទ ដូចដែលពួកវាត្រូវបានកំណត់នៅក្នុងឯកសារ /etc/services ។ ឧទាហរណ៍:

  nft បន្ថែមច្បាប់ xy tcp dport "ssh"
  សំណុំ​ក្បួន​បញ្ជី nft -l
  តារាង x {
  ខ្សែសង្វាក់ y {
  ...
  tcp dport "ssh"
  }
  }

• សមត្ថភាពក្នុងការត្រួតពិនិត្យប្រភេទនៃចំណុចប្រទាក់បណ្តាញ។ ឧទាហរណ៍:

  បន្ថែមក្បួន inet raw prerouting meta iifkind "vrf" ទទួលយក

• ការ​គាំទ្រ​បាន​ធ្វើ​ឱ្យ​ប្រសើរ​ឡើង​សម្រាប់​ការ​ធ្វើ​ឱ្យ​ទាន់សម័យ​ថាមវន្ត​មាតិកា​នៃ​សំណុំ​ដោយ​ការ​បញ្ជាក់​ច្បាស់​លាស់​ទង់ "ថាមវន្ត" ។ ឧទាហរណ៍ ដើម្បីធ្វើបច្ចុប្បន្នភាពសំណុំ "s" ដើម្បីបន្ថែមអាសយដ្ឋានប្រភព និងកំណត់ធាតុឡើងវិញ ប្រសិនបើមិនមានកញ្ចប់ព័ត៌មានរយៈពេល 30 វិនាទី៖

  បន្ថែមតារាង x
  បន្ថែមសំណុំ xs { ប្រភេទ ipv4_addr; ទំហំ 128; អស់ពេល 30s; ទង់ថាមវន្ត; }
  បន្ថែមខ្សែសង្វាក់ xy { ប្រភេទតម្រងទំពក់បញ្ចូលអាទិភាព 0; }
  បន្ថែមច្បាប់ xy update @s { ip saddr }

• សមត្ថភាពក្នុងការកំណត់លក្ខខណ្ឌនៃការអស់ពេលដាច់ដោយឡែក។ ឧទាហរណ៍ ដើម្បីបដិសេធការអស់ពេលលំនាំដើមសម្រាប់កញ្ចប់ព័ត៌មានដែលមកដល់ច្រក 8888 អ្នកអាចបញ្ជាក់៖

  តារាង ip filter {
  ct អស់ពេល aggressive-tcp {
  ពិធីការ tcp;
  l3proto ip;
  policy = {establied: 100, close_wait: 4, close: 4}
  }
  ទិន្នផលខ្សែសង្វាក់ {
  ...
  tcp dport 8888 ct អស់ពេលកំណត់ "aggressive-tcp"
  }
  }

• ការគាំទ្រ NAT សម្រាប់គ្រួសារ inet៖

  តារាង inet nat {
  ...
  ip6 daddr ស្លាប់ ::2::1 dnat to dead :2::99
  }

• កែលម្អការរាយការណ៍កំហុសវាយអក្សរ៖

  nft បន្ថែមការសាកល្បងតម្រងខ្សែសង្វាក់

  កំហុស៖ គ្មានឯកសារ ឬថតឯកសារបែបនេះទេ។ តើអ្នកមានន័យថាតារាង "តម្រង" នៅក្នុង ip គ្រួសារទេ?
  បន្ថែមការធ្វើតេស្តតម្រងខ្សែសង្វាក់
  ^^^^^^

• សមត្ថភាពក្នុងការបញ្ជាក់ឈ្មោះចំណុចប្រទាក់ក្នុងសំណុំ៖

  កំណត់ sc {
  ប្រភេទ inet_service ។ ifname
  ធាតុ = { "ssh" ។ "eth0" }
  }

• បានធ្វើបច្ចុប្បន្នភាពវាក្យសម្ព័ន្ធច្បាប់លំហូរ៖

  nft បន្ថែមតារាង x
  nft បន្ថែម flowtable x ft { hook ingress priority 0; ឧបករណ៍ = { eth0, wlan0 }; }
  ...
  nft add rule x forward ip protocol { tcp, udp } flow add @ft

• ការគាំទ្រ JSON ប្រសើរឡើង។

ប្រភព: opennet.ru