nftables 패킷 필터 1.0.0 릴리스

IPv1.0.0, IPv4, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스를 통합하는 패킷 필터 nftables 6 릴리스가 게시되었습니다(iptables, ip6table, arptables 및 ebtables를 대체하는 것을 목표로 함). nftables 1.0.0 릴리스가 작동하는 데 필요한 변경 사항은 Linux 5.13 커널에 포함되어 있습니다. 버전 번호의 중요한 변경은 근본적인 변경과 관련이 없지만 0.9.9진수 표기법으로 번호를 일관되게 계속 사용한 결과일 뿐입니다(이전 릴리스는 XNUMX였습니다).

nftables 패키지에는 사용자 공간에서 실행되는 패킷 필터 구성 요소가 포함되어 있으며, 커널 수준 작업은 릴리스 3.13부터 Linux 커널의 일부였던 nf_tables 하위 시스템에서 제공됩니다. 커널 수준은 패킷에서 데이터 추출, 데이터 작업 수행 및 흐름 제어를 위한 기본 기능을 제공하는 일반적인 프로토콜 독립적인 인터페이스만 제공합니다.

필터링 규칙과 프로토콜별 핸들러는 사용자 공간에서 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)를 연상시키는 특수 가상 머신의 커널에서 실행됩니다. 이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 프로토콜 작업을 위한 구문 분석 규칙 및 논리의 모든 기능을 사용자 공간으로 이동할 수 있습니다.

주요 혁신:

• "*" 마스크 요소에 대한 지원이 세트 목록에 추가되었습니다. 이는 세트에 정의된 다른 요소에 속하지 않는 모든 패키지에 대해 트리거됩니다. table x { map blocklist { type ipv4_addr : verdict 플래그 간격 요소 = { 192.168.0.0/16 : accept, 10.0.0.0/8 : accept, * : drop } } chain y { type filter Hook 프리라우팅 우선순위 0; 정책 동의; IP Saddr vmap @blocklist } }
• "--define" 옵션을 사용하여 명령줄에서 변수를 정의할 수 있습니다. # cat test.nft table netdev x { chain y { 유형 필터 후크 수신 장치 = $dev 우선 순위 0; 정책 하락; } } # nft —define dev="{ eth0, eth1 }" -f test.nft
• 맵 목록에서는 상수(상태 저장) 표현식의 사용이 허용됩니다. table inet filter { map portmap { type inet_service : verdict counter elements = { 22 counter packets 0 bytes 0 : jump ssh_input, * counter packets 0 bytes 0 : drop } } chain ssh_input { } chain wan_input { tcp dport vmap @portmap } 체인 사전 라우팅 { 유형 필터 후크 사전 라우팅 우선순위 원시; 정책 동의; iif vmap { "lo" : wan_input 점프 } } }
• 지정된 패킷 계열에 대한 처리기 목록을 표시하기 위해 "list Hooks" 명령을 추가했습니다. # nft list Hooks ip device eth0 family ip { Hook ingress { +0000000010 chain netdev xy [nf_tables] +0000000300 chain inet mw [nf_tables] } 후크 입력 { -0000000100 chain ip ab [nf_tables] +0000000300 chain inet mz [nf_tables] } 후크 전달 { -0000000225 selinux_ipv4_forward 0000000000 체인 ip ac [nf_tables] } 후크 출력 { -0000000225 selinux_ipv4_output } 후크 postrou 팅 { +0000000225 4 selinux_ipvXNUMX_postroute } }
• 대기열 블록을 사용하면 jhash, Symhash 및 numgen 표현식을 결합하여 사용자 공간의 대기열에 패킷을 배포할 수 있습니다. … Symhash 모드 65536에 대한 대기열 … 대기열 플래그는 numgen inc mod 65536에 대한 우회 … jhash oif에 대한 대기열. Meta mark mod 32 "queue"는 맵 목록과 결합하여 임의의 키를 기반으로 사용자 공간에서 대기열을 선택할 수도 있습니다. ... 대기열 플래그는 oifname map { "eth0" : 0, "ppp0" : 2, "eth1" : 2 }로 우회됩니다.
• 세트 목록을 포함하는 변수를 여러 맵으로 확장하는 것이 가능합니다. 인터페이스 정의 = { eth0, eth1 } 테이블 ip x { 체인 y { 유형 필터 후크 입력 우선순위 0; 정책 동의; iifname vmap { lo : accept, $interfaces : drop } } } # nft -f x.nft # nft 목록 규칙 세트 table ip x { chain y { type filter Hook 입력 우선순위 0; 정책 동의; iifname vmap { "lo" : 수락, "eth0" : 삭제, "eth1" : 삭제 } } }
• 일정 간격으로 vmap(판결 맵)을 결합하는 것이 허용됩니다. # nft add rule xy tcp dport . IP saddr vmap { 1025-65535 . 192.168.10.2 : 수락 }
• NAT 매핑을 위한 단순화된 구문입니다. 주소 범위 지정이 허용됨: ... snat to ip saddr map { 10.141.11.4 : 192.168.2.2-192.168.2.4 } 또는 명시적 IP 주소 및 포트: ... dnat to ip saddr map { 10.141.11.4 : 192.168.2.3 . 80 } 또는 IP 범위와 포트의 조합: ... dnat에서 ip saddr로. tcp dport 맵 { 192.168.1.2 . 80: 10.141.10.2-10.141.10.5. 8888-8999 }

출처 : opennet.ru