🥇Nftables 패킷 필터 0.9.9 출시

IPv0.9.9, IPv4, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스를 통합하는 패킷 필터 nftables 6 릴리스가 게시되었습니다(iptables, ip6table, arptables 및 ebtables를 대체하는 것을 목표로 함). 동시에 nf_tables 하위 시스템과 상호 작용하기 위한 하위 수준 API를 제공하는 동반 라이브러리 libnftnl 1.2.0이 출시되었습니다. nftables 0.9.9 릴리스가 작동하는 데 필요한 변경 사항은 Linux 커널 5.13-rc1에 포함되어 있습니다.

nftables 패키지에는 사용자 공간에서 실행되는 패킷 필터 구성 요소가 포함되어 있으며, 커널 수준 작업은 릴리스 3.13부터 Linux 커널의 일부였던 nf_tables 하위 시스템에서 제공됩니다. 커널 수준은 패킷에서 데이터 추출, 데이터 작업 수행 및 흐름 제어를 위한 기본 기능을 제공하는 일반적인 프로토콜 독립적인 인터페이스만 제공합니다.

필터링 규칙과 프로토콜별 핸들러는 사용자 공간에서 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)를 연상시키는 특수 가상 머신의 커널에서 실행됩니다. 이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 프로토콜 작업을 위한 구문 분석 규칙 및 논리의 모든 기능을 사용자 공간으로 이동할 수 있습니다.

주요 혁신:

흐름 테이블 처리를 네트워크 어댑터 측으로 이동하는 기능이 구현되었으며 'offload' 플래그를 사용하여 활성화되었습니다. Flowtable은 모든 규칙 처리 체인의 완전한 통과가 첫 번째 패킷에만 적용되고 흐름의 다른 모든 패킷은 직접 전달되는 패킷 리디렉션 경로를 최적화하기 위한 메커니즘입니다. table ip global { flowtable f { 후크 수신 우선 순위 필터 + 1 장치 = { lan3, lan0, wan } 플래그 오프로드 } 체인 전달 { 유형 필터 후크 전달 우선 순위 필터; 정책 동의; ip 프로토콜 { tcp, udp } 흐름 추가 @f } 체인 포스트 { 유형 nat 후크 포스트라우팅 우선순위 필터; 정책 동의; oifname "wan" 가장 무도회 } }
프로세스에서 테이블을 독점적으로 사용할 수 있도록 테이블에 소유자 플래그를 연결하는 지원이 추가되었습니다. 프로세스가 종료되면 해당 프로세스와 연결된 테이블이 자동으로 삭제됩니다. 프로세스에 대한 정보는 규칙 덤프에 주석 형식으로 표시됩니다. table ip x { # progname nft flags owner chain y { type filter Hook input Priority filter; 정책 동의; 카운터 패킷 1바이트 309 } }
여러 VLAN 태그를 단일 이더넷 프레임으로 대체하는 수단을 정의하는 IEEE 802.1ad 사양(VLAN 스태킹 또는 QinQ)에 대한 지원이 추가되었습니다. 예를 들어 외부 이더넷 프레임 8021ad 및 vlan id=342의 유형을 확인하려면 ... ether type 802.1ad vlan id 342 구성을 사용하여 이더넷 프레임 8021ad/vlan id=1, 중첩된 802.1의 외부 유형을 확인할 수 있습니다. q/vlan id=2 및 추가 IP 패킷 캡슐화: ... 이더넷 유형 8021ad vlan id 1 vlan 유형 8021q vlan id 2 vlan 유형 ip 카운터
통합 계층 cgroups v2를 사용하여 리소스 관리에 대한 지원이 추가되었습니다. cgroups v2와 v1의 주요 차이점은 CPU 리소스 할당, 메모리 소비 조절 및 I/O를 위해 별도의 계층 구조 대신 모든 유형의 리소스에 공통 cgroups 계층 구조를 사용한다는 것입니다. 예를 들어, 첫 번째 수준 cgroupv2에 있는 소켓의 조상이 "system.slice" 마스크와 일치하는지 확인하려면 다음 구성을 사용할 수 있습니다. ... 소켓 cgroupv2 수준 1 "system.slice"
SCTP 패킷의 구성 요소를 확인하는 기능이 추가되었습니다(이에 필요한 기능은 Linux 5.14 커널에 나타납니다). 예를 들어, 패킷에 유형이 'data'이고 필드가 'type'인 청크가 포함되어 있는지 확인하려면 다음을 수행하십시오. ... sctp 청크 데이터가 존재합니다 ... sctp 청크 데이터 유형 0
"-f" 플래그를 사용하여 규칙 로드 작업 실행이 약 XNUMX배 가속화되었습니다. 규칙 목록 출력도 가속화되었습니다.
플래그 비트가 설정되었는지 확인하기 위한 간단한 형식이 제공됩니다. 예를 들어, snat 및 dnat 상태 비트가 설정되지 않았는지 확인하려면 다음을 지정할 수 있습니다. ... ct status ! snat,dnat는 syn 비트가 비트마스크에 설정되어 있는지 확인합니다. syn,ack: ... tcp는 syn / syn,ack에 플래그를 지정하여 fin 및 rst 비트가 비트마스크에 설정되어 있지 않은지 확인합니다. syn,ack,fin,rst: ... tcp 플래그! = fin,rst / syn,ack,fin,rst
set/map typeof 정의에서 "verdict" 키워드를 허용합니다. map xm { typeof iifname 을 추가하세요. IP 프로토콜 th dport : 평결 ;}

출처 : opennet.ru

nftables 패킷 필터 0.9.9 릴리스

코멘트를 추가 답장을 취소