nftables 패킷 필터 1.0.3 릴리스

IPv1.0.3, IPv4, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스를 통합하는 패킷 필터 nftables 6 릴리스가 게시되었습니다(iptables, ip6table, arptables 및 ebtables를 대체하는 것을 목표로 함). nftables 1.0.3 릴리스가 작동하는 데 필요한 변경 사항은 Linux 5.18 커널에 포함되어 있습니다.

nftables 패키지에는 사용자 공간에서 실행되는 패킷 필터 구성 요소가 포함되어 있으며, 커널 수준 작업은 릴리스 3.13부터 Linux 커널의 일부였던 nf_tables 하위 시스템에서 제공됩니다. 커널 수준은 패킷에서 데이터 추출, 데이터 작업 수행 및 흐름 제어를 위한 기본 기능을 제공하는 일반적인 프로토콜 독립적인 인터페이스만 제공합니다.

필터링 규칙과 프로토콜별 핸들러는 사용자 공간에서 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)를 연상시키는 특수 가상 머신의 커널에서 실행됩니다. 이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 프로토콜 작업을 위한 구문 분석 규칙 및 논리의 모든 기능을 사용자 공간으로 이동할 수 있습니다.

주요 혁신:

• 세트 목록은 이제 마스크로 일치하는 네트워크 인터페이스 이름을 지원합니다. 예를 들어 "*" 기호를 사용하여 지정됩니다. table inet testifsets { set simple_wild { type ifname flags 간격 요소 = { "abcdef*", "othername", "ppp0" } } chain v4icmp { 유형 필터 후크 입력 우선순위 0; 정책 동의; iifname @simple_wild 카운터 패킷 0바이트 0 iifname { “abcdef*”, “eth0” } 카운터 패킷 0바이트 0 } }
• 작업 중 교차하는 세트 목록 요소의 자동 병합을 구현했습니다. 이전에는 '자동 병합' 옵션을 설정하면 규칙을 선언하는 단계에서 병합이 이루어졌으나, 이제는 작업 중 새로운 요소가 점진적으로 추가되는 경우에도 병합이 수행됩니다. 예를 들어, 선언 단계에서 목록 세트 y { 플래그 간격 자동 병합 요소 = { 1.2.3.0, 1.2.3.255, 1.2.3.0/24, 3.3.3.3, 4.4.4.4, 4.4.4.4-4.4.4.8 , 3.3.3.4 , 3.3.3.5 } } 는 요소 = { 1.2.3.0/24, 3.3.3.3-3.3.3.5, 4.4.4.4-4.4.4.8 } 로 변환되고 새 요소를 추가하면 # nft add 요소 ip xy { 1.2.3.0 -1.2.4.255, 3.3.3.6 }은 요소 = { 1.2.3.0-1.2.4.255, 3.3.3.3-3.3.3.6, 4.4.4.4-4.4.4.8 }처럼 보입니다.

  기존 범위 항목에 속하는 목록에서 개별 항목을 제거하면 범위가 단축되거나 분할됩니다.

• 다중 주소 변환(NAT) 규칙을 맵 목록으로 결합하기 위한 지원이 "-o/—optimize" 옵션이 지정된 경우 호출되는 규칙 최적화 프로그램에 추가되었습니다. 예를 들어, # cat ruleset.nft 테이블 ip x { chain y { type nat Hook postrouting Priority srcnat; 정책 하락; ip saddr 1.1.1.1 tcp dport 8000 snat에서 4.4.4.4:80 ip saddr 2.2.2.2 tcp dport 8001 snat에서 5.5.5.5:90 } }

  "nft -o -c -f ruleset.nft"를 실행하면 별도의 "ip saddr" 규칙이 맵 목록으로 변환됩니다( snat 에서 ip saddr ). TCP dport 맵 { 1.1.1.1 . 8000: 4.4.4.4. 80, 2.2.2.2. 8001: 5.5.5.5. 90}

  마찬가지로 원시 표현식을 맵 목록으로 변환할 수 있습니다. # cat ruleset.nft table ip x { [… 47 63x160,128e0e goto nat_dns_this_0 udp 길이 373135363130333131303735353203-62 @th,78 160,128x0e0e goto nat_dns_saturn_31393032383939353831343037320 udp 길이 5301-62 @th,78 160,128x0e0 31363436323733373931323934300 5301e goto nat_dns_saturn_62 udp 길이 78-160,128 @th,0 0x32393535373539353636383732310e5302e goto nat_dns_saturn_62 drop } }

  최적화 후 우리는 지도 목록(udp length)을 얻습니다. @th,160,128 vmap { 47-63 . 0x0e373135363130333131303735353203 : goto nat_dns_dnstc, 62-78 . 0x0e31393032383939353831343037320e : goto nat_dns_this_5301, 62-78 . 0x0e31363436323733373931323934300e : goto nat_dns_saturn_5301, 62-78 . 0x0e32393535373539353636383732310e : goto nat_dns_saturn_5302, 62-78 . 0x0e38353439353637323038363633390e : nat_dns_saturn_5303으로 이동 }

• 연결 작업에 원시 표현식을 사용할 수 있습니다. 예: #nft add rule xy ip saddr. @ih,32,32 { 1.1.1.1 . 0x14, 2.2.2.2 . 0x1e } 또는 테이블 x { set y { typeof ip saddr . @ih,32,32 요소 = { 1.1.1.1 . 0x14 } } }
• 연결 작업에서 정수 헤더 필드 지정에 대한 지원이 추가되었습니다: table inet t { map m1 { typeof udp length . @ih,32,32: 판정 플래그 간격 요소 = { 20-80 . 0x14 : 수락, 1-10 . 0xa : drop } } chain c { 유형 필터 후크 입력 우선순위 0; 정책 하락; UDP 길이. @ih,32,32 vmap @m1 } }
• TCP 옵션 재설정에 대한 지원 추가(Linux 커널 5.18+에서만 작동): tcp flags syn Reset tcp option sack-perm
• 체인 출력 명령("nft list chain xy")의 실행이 가속화되었습니다.

출처 : opennet.ru