nftables 패킷 필터 0.9.5 릴리스

게시 됨 패킷 필터 릴리스 nftables 0.9.5, IPv6, IPv4, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스를 통합하여 iptables, ip6table, arptables 및 ebtables를 대체하기 위해 개발되었습니다. nftables 패키지에는 사용자 공간에서 실행되는 패킷 필터 구성 요소가 포함되어 있으며, 커널 수준 작업은 릴리스 3.13부터 Linux 커널의 일부였던 nf_tables 하위 시스템에서 제공됩니다. nftables 0.9.5 릴리스가 작동하는 데 필요한 변경 사항이 커널에 포함되어 있습니다. Linux 5.7.

커널 수준에서는 패킷에서 데이터를 추출하고 데이터에 대한 작업을 수행하며 흐름을 제어하기 위한 기본 기능을 제공하는 일반 프로토콜 독립적 인터페이스만 제공됩니다. 필터링 규칙 자체와 프로토콜별 핸들러는 사용자 공간 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)와 유사한 특수 가상 머신의 커널에서 실행됩니다. 이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 구문 분석 규칙의 모든 기능과 프로토콜 작업 논리를 사용자 공간으로 이동할 수 있습니다.

주요 혁신:

• 세트 요소와 관련된 패킷 및 트래픽 카운터에 대한 지원이 세트에 추가되었습니다. 카운터는 "counter" 키워드를 사용하여 활성화됩니다.

  테이블 IP x {
  세트 y {
  유형의 ip saddr
  카운터
  요소 = {192.168.10.35, 192.168.10.101, 192.168.10.135}
  }

  체인 z {
  유형 필터 후크 출력 우선 순위 필터; 정책 동의;
  IP 아빠 @y
  }
  }

• 예를 들어, 재시작 후 이전 카운터를 복원하기 위해 카운터의 초기 값을 설정하려면 "nft -f" 명령을 사용할 수 있습니다.

  # 고양이 규칙 세트.nft
  테이블 IP x {
  세트 y {
  유형의 ip saddr
  카운터
  요소 = { 192.168.10.35 카운터 패킷 1바이트 84, 192.168.10.101 \
  카운터 p 192.168.10.135 카운터 패킷 0바이트 0 }
  }

  체인 z {
  유형 필터 후크 출력 우선 순위 필터; 정책 동의;
  IP 아빠 @y
  }
  }
  # nft -f 규칙 세트.nft
  #nft 목록 규칙 세트
  테이블 IP x {
  세트 y {
  유형의 ip saddr
  카운터
  요소 = { 192.168.10.35 카운터 패킷 1바이트 84, 192.168.10.101 \
  카운터 p 192.168.10.135 카운터 패킷 0바이트 0 }
  }

  체인 z {
  유형 필터 후크 출력 우선 순위 필터; 정책 동의;
  IP 아빠 @y
  }
  }

• 카운터 지원도 flowtable에 추가되었습니다.

  테이블 IP 푸 {
  플로우테이블 바 {
  후크 수신 우선순위 -100
  장치 = { eth0, eth1 }
  카운터
  }

  체인 포워드 {
  유형 필터 후크 순방향 우선 순위 필터;
  흐름 추가 @bar 카운터
  }
  }

  "conntrack -L" 명령을 사용하여 카운터 목록을 볼 수 있습니다.

  tcp 6 src=192.168.10.2 dst=10.0.1.2 sport=47278 dport=5201 패킷=9바이트=608 \
  src=10.0.1.2 dst=10.0.1.1 sport=5201 dport=47278 packets=8 bytes=428 [OFFLOAD] mark=0 \
  secctx=null 사용=2 tcp 6 src=192.168.10.2 dst=10.0.1.2 sport=47280 dport=5201 \
  패킷=1005763바이트=44075714753 src=10.0.1.2 dst=10.0.1.1 스포츠=5201 dport=47280 \
  패킷=967505바이트=50310268 [OFFLOAD] 표시=0 secctx=null 사용=2

• 연결 세트(연결, 비교를 단순화하는 특정 주소 및 포트 번들)에서는 세트 요소의 구성 부분에 대한 요소의 데이터 유형을 결정하는 "typeof" 지시어를 사용할 수 있습니다.

  테이블 IP 푸 {
  화이트리스트 설정 {
  유형은 ip saddr입니다. TCP 포트
  요소 = { 192.168.10.35 . 80, 192.168.10.101. 80}
  }

  체인 바 {
  유형 필터 후크 사전 라우팅 우선순위 필터; 정책 삭제;
  IP 아빠. tcp dport @whitelist 수락
  }
  }

• typeof 지시문은 이제 맵 목록의 조인에도 적용됩니다.

  테이블 IP 푸 {
  지도 addr2mark {
  유형은 ip saddr입니다. tcp dport : 메타 마크
  요소 = { 192.168.10.35 . 80 : 0x00000001,
  192.168.10.135. 80 : 0x00000002 }
  }

  체인 바 {
  유형 필터 후크 사전 라우팅 우선순위 필터; 정책 삭제;
  메타 마크는 ip Daddr로 설정됩니다. tcp dport 맵 @addr2mark 수락
  }
  }

• 익명(이름 없음) 집합의 범위 조인에 대한 지원이 추가되었습니다.

  # nft 추가 규칙 inet 필터 입력 ip Daddr. TCP 포트\
  { 10.0.0.0/8 . 10-23, 192.168.1.1-192.168.3.8. 80-443 } 수락

• 네트워크 브리지를 처리할 때 802.1q(VLAN) 플래그가 있는 패킷을 삭제하는 기능이 제공됩니다.

  # nft 추가 규칙 브리지 foo bar 에테르 유형 vlan 거부(tcp 재설정 포함)

• TCP 세션 식별자(conntrack ID)별 일치에 대한 지원이 추가되었습니다. conntrack ID를 확인하려면 "--output id" 옵션을 사용할 수 있습니다.

  # conntrack -L —출력 ID
  UDP 17 18 src=192.168.2.118 dst=192.168.2.1 스포츠=36424 dport=53 패킷=2 \
  bytes=122 src=192.168.2.1 dst=192.168.2.118 sport=53 dport=36424 packets=2 bytes=320 \
  [보증됨] mark=0 사용=1 id=2779986232

  # nft 추가 규칙 foo bar ct id 2779986232 카운터

출처 : opennet.ru