🥇nftables 패킷 필터 0.9.9 출시

nftables 0.9.9 패킷 필터가 출시되었습니다. 이 필터는 IPv4, IPv6, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스를 통합합니다(iptables, ip6table, arptables 및 ebtables를 대체하도록 설계됨). nf_tables 하위 시스템과 상호 작용하기 위한 저수준 API를 제공하는 libnftnl 1.2.0 라이브러리도 동시에 출시되었습니다. nftables 0.9.9에 필요한 변경 사항은 커널에 반영되었습니다. Linux 5.13-rc1.

nftables 패키지에는 사용자 공간에서 작동하는 패킷 필터 구성 요소가 포함되어 있으며, 커널 수준의 작업은 커널의 일부인 nf_tables 하위 시스템에서 제공합니다. Linux 3.13 버전부터는 커널 수준에서 프로토콜에 독립적인 일반 인터페이스만 제공되며, 패킷에서 데이터를 추출하고, 데이터 작업을 수행하고, 흐름 제어를 위한 기본 기능을 제공합니다.

필터링 규칙 자체와 프로토콜별 핸들러는 사용자 공간에서 바이트코드로 컴파일된 후, Netlink 인터페이스를 사용하여 커널로 로드되어 커널 내의 특수한 함수에서 실행됩니다. 가상 기기이는 BPF(Berkeley Packet Filters)를 연상시킵니다. 이 접근 방식을 통해 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄일 수 있으며, 모든 규칙 구문 분석 및 프로토콜 로직을 사용자 공간으로 옮길 수 있습니다.

주요 혁신:

흐름 테이블 처리를 네트워크 어댑터 측으로 이동하는 기능이 구현되었으며 'offload' 플래그를 사용하여 활성화되었습니다. Flowtable은 모든 규칙 처리 체인의 완전한 통과가 첫 번째 패킷에만 적용되고 흐름의 다른 모든 패킷은 직접 전달되는 패킷 리디렉션 경로를 최적화하기 위한 메커니즘입니다. table ip global { flowtable f { 후크 수신 우선 순위 필터 + 1 장치 = { lan3, lan0, wan } 플래그 오프로드 } 체인 전달 { 유형 필터 후크 전달 우선 순위 필터; 정책 동의; ip 프로토콜 { tcp, udp } 흐름 추가 @f } 체인 포스트 { 유형 nat 후크 포스트라우팅 우선순위 필터; 정책 동의; oifname "wan" 가장 무도회 } }
프로세스에서 테이블을 독점적으로 사용할 수 있도록 테이블에 소유자 플래그를 연결하는 지원이 추가되었습니다. 프로세스가 종료되면 해당 프로세스와 연결된 테이블이 자동으로 삭제됩니다. 프로세스에 대한 정보는 규칙 덤프에 주석 형식으로 표시됩니다. table ip x { # progname nft flags owner chain y { type filter Hook input Priority filter; 정책 동의; 카운터 패킷 1바이트 309 } }
여러 VLAN 태그를 단일 이더넷 프레임으로 대체하는 수단을 정의하는 IEEE 802.1ad 사양(VLAN 스태킹 또는 QinQ)에 대한 지원이 추가되었습니다. 예를 들어 외부 이더넷 프레임 8021ad 및 vlan id=342의 유형을 확인하려면 ... ether type 802.1ad vlan id 342 구성을 사용하여 이더넷 프레임 8021ad/vlan id=1, 중첩된 802.1의 외부 유형을 확인할 수 있습니다. q/vlan id=2 및 추가 IP 패킷 캡슐화: ... 이더넷 유형 8021ad vlan id 1 vlan 유형 8021q vlan id 2 vlan 유형 ip 카운터
통합 계층 cgroups v2를 사용하여 리소스 관리에 대한 지원이 추가되었습니다. cgroups v2와 v1의 주요 차이점은 CPU 리소스 할당, 메모리 소비 조절 및 I/O를 위해 별도의 계층 구조 대신 모든 유형의 리소스에 공통 cgroups 계층 구조를 사용한다는 것입니다. 예를 들어, 첫 번째 수준 cgroupv2에 있는 소켓의 조상이 "system.slice" 마스크와 일치하는지 확인하려면 다음 구성을 사용할 수 있습니다. ... 소켓 cgroupv2 수준 1 "system.slice"
Добавлена возможность проверки составных частей пакетов SCTP (необходимая для работы функциональность появится в ядре Linux 5.14). Например, для проверки наличия в пакете chunk-а с типом ‘data’ и полем ‘type’: … sctp chunk data exists … sctp chunk data type 0
"-f" 플래그를 사용하여 규칙 로드 작업 실행이 약 XNUMX배 가속화되었습니다. 규칙 목록 출력도 가속화되었습니다.
플래그 비트가 설정되었는지 확인하기 위한 간단한 형식이 제공됩니다. 예를 들어, snat 및 dnat 상태 비트가 설정되지 않았는지 확인하려면 다음을 지정할 수 있습니다. ... ct status ! snat,dnat는 syn 비트가 비트마스크에 설정되어 있는지 확인합니다. syn,ack: ... tcp는 syn / syn,ack에 플래그를 지정하여 fin 및 rst 비트가 비트마스크에 설정되어 있지 않은지 확인합니다. syn,ack,fin,rst: ... tcp 플래그! = fin,rst / syn,ack,fin,rst
set/map typeof 정의에서 "verdict" 키워드를 허용합니다. map xm { typeof iifname 을 추가하세요. IP 프로토콜 th dport : 평결 ;}

출처 : opennet.ru

nftables 패킷 필터 0.9.9 릴리스

ProHoster