🥇Nftables 패킷 필터 1.0.2 출시

IPv1.0.2, IPv4, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스를 통합하는 패킷 필터 nftables 6 릴리스가 게시되었습니다(iptables, ip6table, arptables 및 ebtables를 대체하는 것을 목표로 함). nftables 1.0.2 릴리스가 작동하는 데 필요한 변경 사항은 Linux 커널 5.17-rc에 포함되어 있습니다.

nftables 패키지에는 사용자 공간에서 실행되는 패킷 필터 구성 요소가 포함되어 있으며, 커널 수준 작업은 릴리스 3.13부터 Linux 커널의 일부였던 nf_tables 하위 시스템에서 제공됩니다. 커널 수준은 패킷에서 데이터 추출, 데이터 작업 수행 및 흐름 제어를 위한 기본 기능을 제공하는 일반적인 프로토콜 독립적인 인터페이스만 제공합니다.

필터링 규칙과 프로토콜별 핸들러는 사용자 공간에서 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)를 연상시키는 특수 가상 머신의 커널에서 실행됩니다. 이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 프로토콜 작업을 위한 구문 분석 규칙 및 논리의 모든 기능을 사용자 공간으로 이동할 수 있습니다.

주요 혁신:

규칙 최적화 모드가 추가되었으며 새로운 "-o"("--optimize") 옵션을 사용하여 활성화되었습니다. 이 옵션은 "--check" 옵션과 결합하여 실제로 로드하지 않고도 규칙 세트 파일의 변경 사항을 확인하고 최적화할 수 있습니다. . 최적화를 사용하면 다음 규칙과 같은 유사한 규칙을 결합할 수 있습니다. Meta iifname eth1 ip saddr 1.1.1.1 ip Daddr 2.2.2.3 accept Meta iifname eth1 ip saddr 1.1.1.2 ip Daddr 2.2.2.5 accept ip saddr 1.1.1.1 ip Daddr 2.2.2.2 .2.2.2.2 IP Saddr 수락 3.3.3.3 IP Daddr XNUMX 삭제
메타 iifname 으로 결합됩니다. IP 슬픈 사람. IP Daddr { eth1 . 1.1.1.1. 2.2.2.3, eth1 . 1.1.1.2. 2.2.2.5 } IP saddr을 수락합니다. IP Daddr vmap { 1.1.1.1 . 2.2.2.2 : 수락, 2.2.2.2 . 3.3.3.3 : 삭제 }

사용 예: # nft -c -o -f ruleset.test 병합: ruleset.nft:16:3-37: ip Daddr 192.168.0.1 counter accept ruleset.nft:17:3-37: ip Daddr 192.168.0.2 counter accept ruleset.nft:18:3-37: ip Daddr 192.168.0.3 카운터 승인 대상: ip Daddr { 192.168.0.1, 192.168.0.2, 192.168.0.3 } 카운터 패킷 0바이트 0 승인
세트 목록은 sctp 청크뿐만 아니라 ip 및 tcp 옵션을 지정하는 기능을 구현합니다. set s5 { typeof ip option ra value elements = { 1, 1024 } } set s7 { typeof sctp Chunk init num-inbound-streams elements = { 1, 4 } } chain c5 { ip option ra value @s5 accept } chain c7 { sctp Chunk init num-inbound-streams @s7 accept }
TCP 옵션 fastopen, md5sig 및 mptcp에 대한 지원이 추가되었습니다.
매핑에서 mp-tcp 하위 유형 사용에 대한 지원이 추가되었습니다. tcp 옵션 mptcp 하위 유형 1
커널 측 필터링 코드가 개선되었습니다.
Flowtable은 이제 JSON 형식을 완벽하게 지원합니다.
이더넷 프레임 일치 작업에서 "거부" 작업을 사용하는 기능이 제공되었습니다. 에테르 saddr aa:bb:cc:dd:ee:ff ip Daddr 192.168.0.1 거부

출처 : opennet.ru

nftables 패킷 필터 1.0.2 릴리스

코멘트를 추가 답장을 취소