🥇Nftables 패킷 필터 0.9.4 출시

게시 됨 패킷 필터 릴리스 nftables 0.9.4, IPv6, IPv4, ARP 및 네트워크 브리지용 패킷 필터링 인터페이스를 통합하여 iptables, ip6table, arptables 및 ebtables의 대체품으로 개발 중입니다. nftables 패키지에는 사용자 공간에서 실행되는 패킷 필터 구성 요소가 포함되어 있으며 커널 수준은 릴리스 3.13 이후 Linux 커널의 일부인 nf_tables 하위 시스템에서 제공됩니다. nftables 0.9.4 릴리스가 작동하는 데 필요한 변경 사항은 향후 커널 분기에 포함됩니다. Linux 5.6.

커널 수준에서는 패킷에서 데이터를 추출하고 데이터에 대한 작업을 수행하며 흐름을 제어하기 위한 기본 기능을 제공하는 일반 프로토콜 독립적 인터페이스만 제공됩니다. 필터링 규칙 자체와 프로토콜별 핸들러는 사용자 공간 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)와 유사한 특수 가상 머신의 커널에서 실행됩니다. 이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 구문 분석 규칙의 모든 기능과 프로토콜 작업 논리를 사용자 공간으로 이동할 수 있습니다.

주요 혁신:

조인의 범위 지원(연결, 일치를 단순화하는 주소 및 포트의 특정 바인딩). 예를 들어 요소가 첨부 파일인 "화이트리스트" 집합의 경우 "간격" 플래그를 지정하면 집합이 첨부 파일의 범위를 포함할 수 있음을 나타냅니다(첨부 파일 "ipv4_addr . ipv4_addr . inet_service"의 경우 이전에는 정확한 "192.168.10.35"과 같이 일치하며 이제 "192.68.11.123-80-192.168.10.35" 주소 그룹을 지정할 수 있습니다.
테이블 IP 푸 {
화이트리스트 설정 {
ipv4_addr 을 입력합니다. ipv4_addr . inet_service
플래그 간격
요소 = { 192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125 . 80}
}

체인 바 {
유형 필터 후크 사전 라우팅 우선순위 필터; 정책 삭제;
아이피 사드르. 아이피 아빠. tcp dport@whitelist 수락
}
}
집합 및 맵 목록에서 매핑할 때 요소의 형식을 결정하는 "typeof" 지시문을 사용할 수 있습니다.
예를 들면 다음과 같습니다

테이블 IP 푸 {
화이트리스트 설정 {
유형의 ip saddr
요소 = {192.168.10.35, 192.168.10.101, 192.168.10.135}
}

체인 바 {
유형 필터 후크 사전 라우팅 우선순위 필터; 정책 삭제;
ip daddr @whitelist 수락
}
}

테이블 IP 푸 {
지도 addr2mark {
typeof ip saddr : 메타 마크
요소 = { 192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
}
}
NAT 바인딩에서 첨부 파일을 사용하는 기능을 추가하여 맵 목록 또는 명명된 집합을 기반으로 NAT 변환을 정의할 때 주소와 포트를 지정할 수 있습니다.
nft 추가 규칙 ip nat pre dnat ip addr . 포트 to ip saddr map {1.1.1.1: 2.2.2.2. 서른 }

nft add map ip nat 목적지 { type ipv4_addr . inet_service : ipv4_addr . inet_service\\; }
nft 추가 규칙 ip nat pre dnat ip addr . ip saddr로 포트. tcp dport 맵 @destinations
네트워크 카드 어깨에서 일부 필터링 작업을 제거하여 하드웨어 가속을 지원합니다. 가속은 ethtool 유틸리티("ethtool -K eth0 hw-tc-offload on")를 통해 활성화된 후 "offload" 플래그를 사용하여 메인 체인의 nftables에서 활성화됩니다. Linux 5.6 커널을 사용하는 경우 수신, 삭제, 복제(dup) 및 전달(fwd) 패킷과 함께 헤더 필드 일치 및 수신 인터페이스 검사를 위해 하드웨어 가속이 지원됩니다. 아래 예에서 주소 192.168.30.20에서 오는 패킷을 삭제하는 작업은 패킷을 커널로 전달하지 않고 네트워크 카드 수준에서 수행됩니다.
# 고양이 파일.nft
테이블 netdev x {
체인 y {
유형 필터 후크 진입 장치 eth0 우선 순위 10; 플래그 오프로드;
ip saddr 192.168.30.20 드롭
}
}
# nft -f 파일.nft
규칙의 오류 위치에 대한 정보가 개선되었습니다.
# nft 삭제 규칙 ip yz 핸들 7
오류: 규칙을 처리할 수 없습니다: 해당 파일 또는 디렉터리가 없습니다.
삭제 규칙 ip yz 핸들 7
^

# nft 삭제 규칙 ip xx 핸들 7
오류: 규칙을 처리할 수 없습니다: 해당 파일 또는 디렉터리가 없습니다.
삭제 규칙 ip xx 핸들 7
^

# nft 삭제 테이블 twst
오류: 해당 파일이나 디렉터리가 없습니다. 가족 IP에서 '테스트' 테이블을 의미했습니까?
테이블 트위스트 삭제
^^^^

첫 번째 예는 테이블 'y'가 시스템에 존재하지 않음을 보여주고, 두 번째는 '7' 핸들러가 누락되었음을 보여주며, 세 번째는 테이블 이름을 입력할 때 오타 힌트를 보여줍니다.
"meta sdif" 또는 "meta sdifname"을 지정하여 슬레이브 인터페이스를 확인하기 위한 지원이 추가되었습니다.
… 메타 sdifname vrf1 …
오른쪽 또는 왼쪽 이동 작업에 대한 지원이 추가되었습니다. 예를 들어 기존 패킷 레이블을 왼쪽으로 1비트 이동하고 하위 비트를 1로 설정하려면 다음과 같이 하십시오.
… 메타 마크 세트 메타 마크 lshift 1 또는 0x1 …
확장된 버전 정보를 표시하는 "-V" 옵션을 구현했습니다.
#nft -V
nftables v0.9.4(Jive at Five)
cli:readline
json:예
minigmp:아니오
libxtables: 예
명령줄 옵션은 이제 명령 전에 필수입니다. 예를 들어 "nft -a list ruleset"를 지정해야 하며 "nft list ruleset -a"를 실행하면 오류가 발생합니다.

출처 : opennet.ru

nftables 패킷 필터 0.9.4 릴리스

코멘트를 추가 답장을 취소