nftables 패킷 필터 1.0.6 릴리스

IPv1.0.6, IPv4, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스를 통합하는 패킷 필터 nftables 6 릴리스가 게시되었습니다(iptables, ip6table, arptables 및 ebtables를 대체하는 것을 목표로 함). nftables 패키지에는 사용자 공간에서 실행되는 패킷 필터 구성 요소가 포함되어 있으며, 커널 수준 작업은 릴리스 3.13부터 Linux 커널의 일부였던 nf_tables 하위 시스템에서 제공됩니다. 커널 수준은 패킷에서 데이터 추출, 데이터 작업 수행 및 흐름 제어를 위한 기본 기능을 제공하는 일반적인 프로토콜 독립적인 인터페이스만 제공합니다.

필터링 규칙과 프로토콜별 핸들러는 사용자 공간에서 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)를 연상시키는 특수 가상 머신의 커널에서 실행됩니다. 이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 프로토콜 작업을 위한 구문 분석 규칙 및 논리의 모든 기능을 사용자 공간으로 이동할 수 있습니다.

주요 변경 사항 :

• "-o/—optimize" 옵션이 지정되면 호출되는 규칙 최적화 프로그램은 규칙을 결합하고 이를 맵 및 세트 목록으로 변환하여 자동으로 패키징합니다. 예를 들어, 규칙 # cat ruleset.nft table ip x { chain y { type filter Hook input Priority filter; 정책 하락; 메타 iifname eth1 ip saddr 1.1.1.1 ip Daddr 2.2.2.3 수락 메타 iifname eth1 ip saddr 1.1.1.2 ip Daddr 2.2.2.4 수락 메타 iifname eth1 ip saddr 1.1.1.2 ip Daddr 2.2.3.0/24 수락 메타 iifname eth1 ip saddr 1.1.1.2 .2.2.4.0 ip Daddr 2.2.4.10-2 accept Meta iifname eth1.1.1.3 ip saddr 2.2.2.5 ip Daddr 4 accept } } "nft -o -c -f ruleset.nft"를 실행하면 다음과 같이 규칙 세트로 변환됩니다. .nft:17:74-1: 메타 iifname eth1.1.1.1 ip saddr 2.2.2.3 ip Daddr 5 수락 ruleset.nft:17:74-1: 메타 iifname eth1.1.1.2 ip saddr 2.2.2.4 ip Daddr 6 수락 ruleset.nft : 17:77-1: 메타 iifname eth1.1.1.2 ip saddr 2.2.3.0 ip Daddr 24/7 accept ruleset.nft:17:83-1: Meta iifname eth1.1.1.2 ip saddr 2.2.4.0 ip Daddr 2.2.4.10-8 ruleset.nft:17:74-2 수락: 메타 iifname eth1.1.1.3 ip saddr 2.2.2.5 ip Daddr 1 수락: iifname . IP 슬픈 사람. IP Daddr { eth1.1.1.1 . 2.2.2.3. 1, eth1.1.1.2 . 2.2.2.4. 1, eth1.1.1.2 . 2.2.3.0. 24/1, eth1.1.1.2 . 2.2.4.0. 2.2.4.10-2, eth1.1.1.3. 2.2.2.5. XNUMX } 수락
• 옵티마이저는 이미 간단한 세트 목록을 사용하는 규칙을 보다 간결한 형태로 변환할 수도 있습니다. 예를 들어 규칙은 다음과 같습니다. # cat ruleset.nft table ip filter { chain input { type filter Hook input Priority filter; 정책 하락; iifname "lo" accept ct 상태 설정, 관련 accept comment "우리가 발생하는 트래픽에서 우리는 신뢰합니다" iifname "enp0s31f6" ip saddr { 209.115.181.102, 216.197.228.230 } ip Daddr 10.0.0.149 udp sport 123 udp dport 32768-65535 accept iifname "enp0s31f6" ip saddr { 64.59.144.17, 64.59.150.133 } ip Daddr 10.0.0.149 udp sport 53 udp dport 32768-65535 accept } } "nft -o -c -f ruleset.nft"를 실행한 후 다음과 같이 패키징됩니다. : ruleset.nft:6:22-149: iifname "enp0s31f6" ip saddr { 209.115.181.102, 216.197.228.230 } ip Daddr 10.0.0.149 udp sport 123 udp dport 32768-65535 accept ruleset.nft:7:22- 143: iifname "enp0s31f6" ip saddr { 64.59.144.17, 64.59.150.133 } ip Daddr 10.0.0.149 udp sport 53 udp dport 32768-65535 수락: iifname . IP 슬픈 사람. IP 아빠. UDP 스포츠. UDP dport { enp0s31f6 . 209.115.181.102. 10.0.0.149. 123. 32768-65535, enp0s31f6. 216.197.228.230. 10.0.0.149. 123. 32768-65535, enp0s31f6. 64.59.144.17. 10.0.0.149. 53. 32768-65535, enp0s31f6. 64.59.150.133. 10.0.0.149. 53. 32768-65535 } 수락
• IPv4(네트워크 바이트 순서) 및 메타 마크(시스템 바이트 순서)와 같이 바이트 순서가 다른 유형을 사용하는 병합 간격에 대한 바이트 코드 생성 문제가 해결되었습니다. 테이블 ip x { 지도 w { ip saddr 유형. 메타 마크 : 판정 플래그 간격 카운터 요소 = { 127.0.0.1-127.0.0.4 . 0x123434-0xb00122 : 수락, 192.168.0.10-192.168.1.20 . 0x0000aa00-0x0000aaff : 수락, } } chain k { 유형 필터 후크 입력 우선순위 필터; 정책 하락; IP 슬픈 사람. 메타 마크 vmap @w } }
• 원시 표현식을 사용할 때 희귀 프로토콜의 비교가 개선되었습니다(예: metal l4proto 91 @th,400,16 0x0 accept).
• 간격에 따라 규칙을 활성화하는 문제가 해결되었습니다. 삽입 규칙 xy tcp sport { 3478-3497, 16384-16387 } 카운터 수락
• 세트 및 맵 목록의 표현식 지원을 포함하도록 JSON API가 개선되었습니다.
• nftables Python 라이브러리 확장을 사용하면 유효성 검사 모드("-c")에서 처리하기 위한 규칙 세트를 로드할 수 있고 변수의 외부 정의에 대한 지원이 추가됩니다.
• 세트리스트 요소에는 코멘트 추가가 허용됩니다.
• 바이트 속도 제한을 사용하면 XNUMX 값을 지정할 수 있습니다.

출처 : opennet.ru