nftables 패킷 필터 1.0.7 릴리스

IPv1.0.7, IPv4, ARP 및 네트워크 브리지에 대한 패킷 필터링 인터페이스를 통합하는 패킷 필터 nftables 6 릴리스가 게시되었습니다(iptables, ip6table, arptables 및 ebtables를 대체하는 것을 목표로 함). nftables 패키지에는 사용자 공간에서 실행되는 패킷 필터 구성 요소가 포함되어 있으며, 커널 수준 작업은 릴리스 3.13부터 Linux 커널의 일부였던 nf_tables 하위 시스템에서 제공됩니다. 커널 수준은 패킷에서 데이터 추출, 데이터 작업 수행 및 흐름 제어를 위한 기본 기능을 제공하는 일반적인 프로토콜 독립적인 인터페이스만 제공합니다.

필터링 규칙과 프로토콜별 핸들러는 사용자 공간에서 바이트코드로 컴파일된 후 이 바이트코드가 Netlink 인터페이스를 사용하여 커널에 로드되고 BPF(Berkeley Packet Filters)를 연상시키는 특수 가상 머신의 커널에서 실행됩니다. 이 접근 방식을 사용하면 커널 수준에서 실행되는 필터링 코드의 크기를 크게 줄이고 프로토콜 작업을 위한 구문 분석 규칙 및 논리의 모든 기능을 사용자 공간으로 이동할 수 있습니다.

주요 변경 사항 :

• Linux 커널 6.2 이상을 실행하는 시스템의 경우 vxlan, geneve, gre 및 gretap 프로토콜 매핑에 대한 지원이 추가되어 간단한 표현식으로 캡슐화된 패킷의 헤더를 확인할 수 있습니다. 예를 들어 VxLAN의 중첩된 패킷 헤더에서 IP 주소를 확인하려면 이제 다음 규칙을 사용할 수 있습니다(먼저 VxLAN 헤더를 캡슐화 해제하고 필터를 vxlan0 인터페이스에 바인딩할 필요 없음). ... udp dport 4789 vxlan ip 프로토콜 udp ... udp dport 4789 vxlan ip saddr 1.2.3.0/24 ... udp dport 4789 vxlan ip saddr . vxlan IP Daddr { 1.2.3.4 . 4.3.2.1 }
• 세트 목록 요소의 부분 삭제 후 나머지 자동 병합 지원이 구현되어 기존 범위에서 요소 또는 범위의 일부를 삭제할 수 있습니다(이전에는 범위를 완전히 삭제할 수만 있었습니다). 예를 들어, 범위가 25-24 및 30-40인 세트 목록에서 요소 50를 제거한 후 목록은 24, 26-30 및 40-50으로 유지됩니다. 자동 병합이 작동하는 데 필요한 수정 사항은 5.10+ 커널의 안정적인 분기 유지 관리 릴리스에서 제공됩니다. # nft 목록 규칙 세트 테이블 ip x { set y { typeof tcp dport 플래그 간격 자동 병합 요소 = { 24-30, 40-50 } } } # nft 삭제 요소 ip xy { 25 } # nft 목록 규칙 세트 table ip x { set y { tcp dport 플래그 간격 자동 병합 요소 유형 = { 24, 26-30, 40-50 } } }
• NAT(주소 변환) 매핑 시 연락처 및 범위를 사용할 수 있습니다. table ip nat { 체인 사전 라우팅 { type nat 후크 사전 라우팅 우선 순위 dstnat; 정책 동의; 아빠의 IP로 dnat. tcp dport 맵 { 10.1.1.136 . 80: 1.1.2.69. 1024, 10.1.1.10-10.1.1.20. 8888-8889: 1.1.2.69. 2048-2049 } 지속적 } }
• 규칙 요소 또는 세트 목록을 마지막으로 사용한 시간을 확인할 수 있는 "마지막" 표현식에 대한 지원이 추가되었습니다. 이 기능은 Linux 커널 5.14부터 지원됩니다. 테이블 ip x { set y { ip Daddr 유형. tcp dport 크기 65535 플래그 동적, 시간 초과 마지막 시간 초과 1h } chain z { 유형 필터 후크 출력 우선 순위 필터; 정책 동의; 업데이트 @y { IP Daddr . tcp dport } } } # nft 목록 set ip xy table ip x { set y { typeof ip Daddr . tcp dport 크기 65535 플래그 동적, 시간 초과 마지막 시간 초과 1h 요소 = { 172.217.17.14 . 443 마지막 사용 1s591ms 시간 초과 1h가 59m58s409ms, 172.67.69.19 만료됩니다. 443 마지막 사용 4s636ms 제한 시간 1시간이 59m55s364ms, 142.250.201.72 만료됩니다. 443 마지막 사용 4s748ms 시간 초과 1h가 59m55s252ms, 172.67.70.134 만료됩니다. 443 마지막 사용 4s688ms 제한 시간 1시간이 59m55s312ms, 35.241.9.150 만료됩니다. 443 마지막 사용 5s204ms 제한 시간 1시간이 59m54s796ms, 138.201.122.174 만료됩니다. 443 마지막 사용 4s537ms 제한 시간 1시간이 59m55s463ms, 34.160.144.191 만료됩니다. 443 마지막 사용 5s205ms 제한 시간 1시간이 59m54s795ms, 130.211.23.194 만료됩니다. 443 마지막 사용 4s436ms 시간 초과 1시간 만료 59m55s564ms } } }
• 세트 목록에 할당량을 정의하는 기능이 추가되었습니다. 예를 들어, 각 대상 IP 주소에 대한 트래픽 할당량을 결정하려면 다음을 지정할 수 있습니다. table netdev x { set y { typeof ip Daddr size 65535 quota over 10000MB } chain y { type filter Hook egress device "eth0" Priority filter; 정책 동의; ip Daddr @y drop } } # nft 요소 추가 inet xy { 8.8.8.8 } # ping -c 2 8.8.8.8 # nft 목록 규칙 세트 table netdev x { set y { type ipv4_addr size 65535 quota over 10000 mbytes elements = { 8.8.8.8. 10000 196MB 이상의 할당량 0바이트 사용 } } chain y { 유형 필터 후크 송신 장치 “ethXNUMX” 우선 순위 필터; 정책 동의; IP Daddr @y drop } }
• 세트 목록에 상수를 사용할 수 있습니다. 예를 들어 대상 주소와 VLAN ID를 목록 키로 사용하는 경우 VLAN 번호(daddr . 123)를 직접 지정할 수 있습니다. table netdev t { set s { typeof ether saddr . vlan id 크기 2048 플래그 동적, 시간 초과 시간 초과 1m } chain c { 유형 필터 후크 수신 장치 eth0 우선 순위 0; 정책 동의; 에테르 유형 != 8021q 업데이트 @s { 에테르 Daddr . 123 } 카운터 } }
• 객체를 무조건 삭제하는 새로운 "destroy" 명령을 추가했습니다(delete 명령과 달리 누락된 객체를 삭제하려고 할 때 ENOENT를 생성하지 않습니다). 작동하려면 최소한 Linux 커널 6.3-rc가 필요합니다. 테이블 IP 필터 파괴

출처 : opennet.ru