🥇Nftables 패킷 필터 0.9.1 출시

XNUMX년의 개발 끝에 제시된 패킷 필터 릴리스 nftables 0.9.1, IPv6, IPv4, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스를 통합하여 iptables, ip6table, arptables 및 ebtables를 대체하기 위해 개발되었습니다. nftables 패키지에는 사용자 공간에서 실행되는 패킷 필터 구성 요소가 포함되어 있으며, 커널 수준 작업은 릴리스 3.13부터 Linux 커널의 일부였던 nf_tables 하위 시스템에서 제공됩니다.

커널 수준은 패킷에서 데이터 추출, 데이터 작업 수행 및 흐름 제어를 위한 기본 기능을 제공하는 일반적인 프로토콜 독립적인 인터페이스만 제공합니다.
필터링 로직 자체와 프로토콜별 핸들러는 사용자 공간에서 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)를 연상시키는 특수 가상 머신에서 실행됩니다. 이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 프로토콜 작업을 위한 구문 분석 규칙 및 논리의 모든 기능을 사용자 공간으로 이동할 수 있습니다.

주요 혁신:

IPsec 지원으로 패킷, IPsec 요청 ID 및 SPI(Security Parameter Index) 태그를 기반으로 터널 주소를 일치시킬 수 있습니다. 예를 들어,
... ip saddr 192.168.1.0/24의 ipsec
... spi 1-65536의 ipsec

경로가 IPsec 터널을 통과하는지 확인하는 것도 가능합니다. 예를 들어 IPSec를 통하지 않고 트래픽을 차단하려면 다음을 수행하세요.

... 필터 출력 rt ipsec 누락 누락
IGMP(인터넷 그룹 관리 프로토콜) 지원. 예를 들어 규칙을 사용하여 수신 IGMP 그룹 멤버십 요청을 삭제할 수 있습니다.
nft 추가 규칙 netdev foo bar igmp 유형 멤버십 쿼리 카운터 드롭
전환 체인(jump / goto)을 정의하기 위해 변수를 사용할 가능성. 예를 들어:
dest = ber를 정의하다
규칙 ip foo bar 점프 $dest 추가
헤더의 TTL 값을 기반으로 운영 체제(OS Fingerprint)를 식별하는 마스크를 지원합니다. 예를 들어, 보낸 사람 OS를 기반으로 패킷을 표시하려면 다음 명령을 사용할 수 있습니다.
... 메타 마크 세트 osf ttl 이름 건너뛰기 map { "Linux" : 0x1,
"윈도우": 0x2,
"맥OS": 0x3,
"알 수 없음": 0x0 }
... osf ttl 건너뛰기 버전 "Linux:4.20"
발신자의 ARP 주소와 대상 시스템의 IPv4 주소를 일치시키는 기능. 예를 들어 주소 192.168.2.1에서 전송된 ARP 패킷의 카운터를 늘리려면 다음 규칙을 사용할 수 있습니다.
테이블 arp x {
체인 y {
유형 필터 후크 입력 우선 순위 필터; 정책 동의;
arp saddr ip 192.168.2.1 카운터 패킷 1바이트 46
}
}
프록시(tproxy)를 통한 투명한 요청 전달 지원. 예를 들어 포트 80에 대한 호출을 프록시 포트 8080으로 리디렉션하려면 다음을 수행합니다.
테이블 IP x {
체인 y {
유형 필터 후크 사전 라우팅 우선 순위 -150; 정책 동의;
tcp dport 80 tproxy ~ :8080
}
}
SO_MARK 모드에서 setockopt()를 통해 세트 마크를 추가로 얻을 수 있는 기능으로 소켓 표시를 지원합니다. 예를 들어:
테이블 inet x {
체인 y {
유형 필터 후크 사전 라우팅 우선 순위 -150; 정책 동의;
tcp dport 8080 마크 세트 소켓 마크
}
}
체인의 우선순위 텍스트 이름 지정을 지원합니다. 예를 들어:
nft add chain ip x raw { 유형 필터 후크 사전 라우팅 우선순위 raw; }
nft add chain ip x filter { 유형 필터 후크 사전 라우팅 우선순위 필터; }
nft add chain ip x filter_later { 유형 필터 후크 사전 라우팅 우선 순위 필터 + 10; }
SELinux 태그(Secmark)를 지원합니다. 예를 들어 SELinux 컨텍스트에서 "sshtag" 태그를 정의하려면 다음을 실행할 수 있습니다.
nft는 secmark inet 필터 sshtag "system_u:object_r:ssh_server_packet_t:s0"을 추가합니다.

그런 다음 규칙에서 이 라벨을 사용합니다.

nft 추가 규칙 inet 필터 입력 tcp dport 22 메타 secmark 세트 "sshtag"

nft add map inet filter secmapping { type inet_service : secmark; }
nft 추가 요소 inet 필터 secmapping { 22 : "sshtag" }
nft 추가 규칙 inet 필터 입력 메타 secmark 세트 tcp dport 맵 @secmapping
/etc/services 파일에 정의된 대로 프로토콜에 할당된 포트를 텍스트 형식으로 지정하는 기능. 예를 들어:
nft 추가 규칙 xy tcp dport "ssh"
nft 목록 규칙 세트 -l
테이블 x {
체인 y {
...
TCP dport "ssh"
}
}
네트워크 인터페이스 유형을 확인하는 기능. 예를 들어:
규칙 inet raw 사전 라우팅 메타 iifkind "vrf" 허용 추가
"동적" 플래그를 명시적으로 지정하여 세트 내용을 동적으로 업데이트하는 지원이 향상되었습니다. 예를 들어, 세트 "s"를 업데이트하여 소스 주소를 추가하고 30초 동안 패킷이 없는 경우 항목을 재설정하려면 다음을 수행하십시오.
테이블 x 추가
세트 xs 추가 { ipv4_addr 입력; 사이즈 128; 시간 초과 30초; 동적 플래그; }
체인 추가 xy { 유형 필터 후크 입력 우선순위 0; }
규칙 xy 업데이트 @s { ip saddr } 추가
별도의 시간 초과 조건을 설정하는 기능. 예를 들어 포트 8888에 도착하는 패킷의 기본 시간 제한을 재정의하려면 다음을 지정할 수 있습니다.
테이블 IP 필터 {
ct 시간 초과 공격적-tcp {
프로토콜 TCP;
l3프로토 IP;
정책 = {설립: 100, close_wait: 4, 마감: 4}
}
체인 출력 {
...
tcp dport 8888 ct 시간 초과 설정 "aggressive-tcp"
}
}
inet 계열에 대한 NAT 지원:
테이블 inet nat {
...
IP6 아빠 사망::2::1 dnat에서 사망:2::99
}
향상된 오타 오류 보고:
nft 추가 체인 필터 테스트

오류: 해당 파일이나 디렉터리가 없습니다. 가족 IP의 "필터" 테이블을 의미합니까?
체인 필터 테스트 추가
^^^^^^
세트로 인터페이스 이름을 지정하는 기능:
설정 sc {
inet_service 를 입력하세요. ifname
요소 = { "ssh" . "eth0" }
}
업데이트된 흐름 테이블 규칙 구문:
nft 테이블 추가 x
nft add flowtable x ft { 후크 수신 우선순위 0; 장치 = {eth0, wlan0 }; }
...
nft 추가 규칙 x 전달 IP 프로토콜 { tcp, udp } 흐름 추가 @ft
JSON 지원이 향상되었습니다.

출처 : opennet.ru

nftables 패킷 필터 0.9.1 릴리스

코멘트를 추가 답장을 취소