nftables 패킷 필터 0.9.3 릴리스

게시 됨 패킷 필터 릴리스 nftables 0.9.3, IPv6, IPv4, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스를 통합하여 iptables, ip6table, arptables 및 ebtables를 대체하기 위해 개발되었습니다. nftables 패키지에는 사용자 공간에서 실행되는 패킷 필터 구성 요소가 포함되어 있으며, 커널 수준 작업은 릴리스 3.13부터 Linux 커널의 일부였던 nf_tables 하위 시스템에서 제공됩니다. nftables 0.9.3 릴리스가 작동하는 데 필요한 변경 사항은 곧 출시될 Linux 5.5 커널 분기에 포함되어 있습니다.

커널 수준은 패킷에서 데이터 추출, 데이터 작업 수행 및 흐름 제어를 위한 기본 기능을 제공하는 일반적인 프로토콜 독립적인 인터페이스만 제공합니다. 필터링 로직 자체와 프로토콜별 핸들러는 사용자 공간에서 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)를 연상시키는 특수 가상 머신에서 실행됩니다. 이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 프로토콜 작업을 위한 구문 분석 규칙 및 논리의 모든 기능을 사용자 공간으로 이동할 수 있습니다.

주요 혁신:

• 시간별 패킷 일치를 지원합니다. 규칙이 트리거되는 시간과 날짜 범위를 모두 정의하고 각 요일에 트리거를 구성할 수 있습니다. 또한 획기적인 시간을 초 단위로 표시하는 새로운 옵션 "-T"가 추가되었습니다.

  메타 타임 \>2019-12-24 16:00\" — \>2020-01-02 7:00\"
  메타 시간 \"17:00\" - \"19:00\"
  메타데이 \"금요일\"

• SELinux 표시(secmark) 복구 및 저장을 지원합니다.

  ct secmark는 메타 secmark를 설정합니다.
  메타 secmark 세트 ct secmark

• Synproxy 맵 목록을 지원하므로 백엔드당 둘 이상의 규칙을 정의할 수 있습니다.

  테이블 IP 푸 {
  신프록시 https-synproxy {
  메시지 1460
  wscale 7
  타임스탬프 자루 파마
  }

  synproxy 기타-synproxy {
  메시지 1460
  wscale 5
  }

  체인 사전 {
  유형 필터 후크 사전 라우팅 우선 순위 원시; 정책 동의;
  tcp dport 8888 tcp 플래그 syn notrack
  }

  체인 바 {
  유형 필터 후크 순방향 우선 순위 필터; 정책 동의;
  ct 상태가 잘못되어 추적되지 않는 synproxy 이름 ip saddr map { 192.168.1.0/24 : "https-synproxy", 192.168.2.0/24 : "other-synproxy" }
  }
  }

• 패킷 처리 규칙에서 설정된 요소를 동적으로 제거하는 기능입니다.

  nft 추가 규칙 ... 삭제 @set5 { ip6 saddr . IP6 아빠}

• 네트워크 브리지 인터페이스 메타데이터에 정의된 ID 및 프로토콜별 VLAN 매핑 지원

  메타 ibrpvid 100
  메타 irvproto VLAN

• 규칙을 표시할 때 세트 세트의 요소를 제외하는 옵션 "-t"("--terse")입니다. "nft -t list ruleset"을 실행하면 다음이 출력됩니다.

  테이블 IP x {
  세트 y {
  ipv4_addr을 입력하세요.
  }
  }

  그리고 "nft 목록 규칙 세트"를 사용하면

  테이블 IP x {
  세트 y {
  ipv4_addr을 입력하세요.
  요소 = { 192.168.10.2, 192.168.20.1,
  192.168.4.4, 192.168.2.34 }
  }
  }

• 공통 필터링 규칙을 결합하기 위해 netdev 체인에서 둘 이상의 장치를 지정하는 기능(커널 5.5에서만 작동)

  테이블 netdev x 추가
  체인 추가 netdev x y { \
  유형 필터 후크 수신 장치 = { eth0, eth1 } 우선순위 0;
  }

• 데이터 유형에 대한 설명을 추가하는 기능.

  # nft는 ipv4_addr을 설명합니다.
  데이터 유형 ipv4_addr(IPv4 주소)(기본 유형 정수), 32비트

• libreadline 대신 linenoise 라이브러리를 사용하여 CLI 인터페이스를 구축하는 기능.

  ./configure --with-cli=linenoise

출처 : opennet.ru