nftables 패킷 필터 0.9.4 릴리스

게시 됨 패킷 필터 릴리스 nftables 0.9.4nftables는 IPv4, IPv6, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스를 통합하여 iptables, ip6table, arptables 및 ebtables를 대체하기 위해 개발되고 있습니다. nftables 패키지에는 사용자 공간에서 작동하는 패킷 필터 구성 요소가 포함되어 있으며, 커널 수준 기능은 커널의 일부인 nf_tables 서브시스템에서 제공됩니다. Linux 3.13 릴리스부터 nftables 0.9.4가 작동하는 데 필요한 변경 사항이 향후 커널 브랜치에 포함됩니다. Linux 5.6.

커널 수준에서는 패킷에서 데이터를 추출하고 데이터에 대한 작업을 수행하며 흐름을 제어하기 위한 기본 기능을 제공하는 일반 프로토콜 독립적 인터페이스만 제공됩니다. 필터링 규칙 자체와 프로토콜별 핸들러는 사용자 공간 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)와 유사한 특수 가상 머신의 커널에서 실행됩니다. 이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 구문 분석 규칙의 모든 기능과 프로토콜 작업 논리를 사용자 공간으로 이동할 수 있습니다.

주요 혁신:

• 연결(주소와 포트의 특정 바인딩으로 매칭을 단순화) 범위 지원 예를 들어, 요소가 부록인 "화이트리스트" 세트의 경우 "간격" 플래그를 지정하면 세트에 부록의 범위가 포함될 수 있음을 나타냅니다(부록 "ipv4_addr . ipv4_addr . inet_service"의 경우 이전에는 "192.168.10.35 . 192.68.11.123 . 80" 형식의 정확한 일치 항목을 나열할 수 있었지만 이제는 "192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125 . 80" 주소 그룹을 지정할 수 있습니다).

  테이블 IP 푸 {
  화이트리스트 설정 {
  ipv4_addr 을 입력합니다. ipv4_addr . inet_service
  플래그 간격
  요소 = { 192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125 . 80}
  }

  체인 바 {
  유형 필터 후크 사전 라우팅 우선순위 필터; 정책 삭제;
  아이피 사드르. 아이피 아빠. tcp dport@whitelist 수락
  }
  }

• 집합 및 맵 목록에서 매핑할 때 요소의 형식을 결정하는 "typeof" 지시문을 사용할 수 있습니다.
  예를 들면 다음과 같습니다

  테이블 IP 푸 {
  화이트리스트 설정 {
  유형의 ip saddr
  요소 = {192.168.10.35, 192.168.10.101, 192.168.10.135}
  }

  체인 바 {
  유형 필터 후크 사전 라우팅 우선순위 필터; 정책 삭제;
  ip daddr @whitelist 수락
  }
  }

  테이블 IP 푸 {
  지도 addr2mark {
  typeof ip saddr : 메타 마크
  요소 = { 192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
  }
  }

• NAT 바인딩에서 첨부 파일을 사용하는 기능을 추가하여 맵 목록 또는 명명된 집합을 기반으로 NAT 변환을 정의할 때 주소와 포트를 지정할 수 있습니다.

  nft 추가 규칙 ip nat pre dnat ip addr . 포트 to ip saddr map {1.1.1.1: 2.2.2.2. 서른 }

  nft add map ip nat 목적지 { type ipv4_addr . inet_service : ipv4_addr . inet_service\\; }
  nft 추가 규칙 ip nat pre dnat ip addr . ip saddr로 포트. tcp dport 맵 @destinations

• 일부 필터링 작업을 네트워크 카드로 오프로드하여 하드웨어 가속을 지원합니다. 가속은 ethtool 유틸리티("ethtool -K eth0 hw-tc-offload on")를 통해 활성화할 수 있으며, 이후 메인 체인에 대한 nftables에서 "offload" 플래그를 사용하여 활성화합니다. 커널을 사용하는 경우 Linux 5.6 버전은 헤더 필드 일치 및 수신 인터페이스 검사에 대한 하드웨어 가속을 지원하며, 패킷 수락, 폐기, 복제(dup) 및 전달(fwd)을 함께 처리합니다. 아래 예시에서는 192.168.30.20에서 오는 패킷을 커널을 거치지 않고 네트워크 인터페이스 카드 수준에서 폐기합니다.

  # 고양이 파일.nft
  테이블 netdev x {
  체인 y {
  유형 필터 후크 진입 장치 eth0 우선 순위 10; 플래그 오프로드;
  ip saddr 192.168.30.20 드롭
  }
  }
  # nft -f 파일.nft

• 규칙의 오류 위치에 대한 정보가 개선되었습니다.

  # nft 삭제 규칙 ip yz 핸들 7
  오류: 규칙을 처리할 수 없습니다: 해당 파일 또는 디렉터리가 없습니다.
  삭제 규칙 ip yz 핸들 7
  ^

  # nft 삭제 규칙 ip xx 핸들 7
  오류: 규칙을 처리할 수 없습니다: 해당 파일 또는 디렉터리가 없습니다.
  삭제 규칙 ip xx 핸들 7
  ^

  # nft 삭제 테이블 twst
  오류: 해당 파일이나 디렉터리가 없습니다. 가족 IP에서 '테스트' 테이블을 의미했습니까?
  테이블 트위스트 삭제
  ^^^^

  첫 번째 예에서는 시스템에서 테이블 "y"가 누락되었고, 두 번째 예에서는 핸들러 "7"이 누락되었으며, 세 번째 예에서는 테이블 이름을 입력하면 오타 프롬프트가 표시되었습니다.

• "meta sdif" 또는 "meta sdifname"을 지정하여 슬레이브 인터페이스를 확인하는 지원이 추가되었습니다.

  … 메타 sdifname vrf1 …

• 오른쪽 또는 왼쪽 이동 작업에 대한 지원이 추가되었습니다. 예를 들어 기존 패킷 레이블을 왼쪽으로 1비트 이동하고 하위 비트를 1로 설정하려면 다음과 같이 하십시오.

  … 메타 마크 세트 메타 마크 lshift 1 또는 0x1 …

• 확장된 버전 정보를 표시하는 "-V" 옵션을 구현했습니다.

  #nft -V
  nftables v0.9.4(Jive at Five)
  cli:readline
  json: 예
  minigmp: 아니요
  libxtables: 예

• 이제 명령줄 옵션을 명령보다 먼저 지정해야 합니다. 예를 들어, "nft -a list ruleset"을 지정했지만 "nft list ruleset -a"를 실행하면 오류가 발생합니다.

  출처 : opennet.ru