ProHoster > Блог > interrete nuntium > nftables packet filter release 0.9.1

nftables packet filter release 0.9.1

Post annum evolutionis presented packet filter release nftables 0.9.1, enucleans ut substitutio pro iptables, ip6tabula, arptableia et ebullientia componendo fasciculum interfaces eliquandi pro IPv4, IPv6, ARP et pontes retis. Involucrum nftables includit membra fasciculi filtri quae in spatio usoris currunt, dum opus nuclei subsystem ab nf_tabularum subsystem, quae pars nuclei Linux 3.13 emissio fuit.

Gradus nucleus solum praebet protocollo-independens interfaciem genericam, quae praecipuas functiones praebet ad notitias ex fasciculis extrahendas, data opera faciendo, et imperium defluendum.
Logica ipsa eliquatio et tracto protocollo-specialis compilata sunt in bytecode in spatio usoris, post quod hoc bytecode oneratur in nucleum utens Netlink interfaciem et in speciali virtuali machina reminiscentis BPF (Berkeley Packet Filters). Hic aditus permittit ut signanter magnitudinem codicis eliquationis in gradu nuclei currentis minuas et omnia munera regulae parsingis et logicae moveas ad operandum cum protocollis in spatium usoris.

Innovationes principales:

  • IPsec firmamentum, permittens adaptare cuniculorum inscriptionum e fasciculo, IPsec petitio ID, et SPI (Securitatis Parameter Index) tag. Exempli gratia

    ... ipsec in ip saddr 192.168.1.0/24
    ... ipsec in spi 1-65536

    Potest etiam inspici an via per cuniculum IPsec transeat. Exempli gratia, mercaturam facere non per IPSec:

    ... filter output rt ipsec missing drop

  • Support for IGMP (Internet Group Management Protocol). Exempli gratia, regulam uti potes ut petitiones sodalitatis IGMP advenientis abiicias

    nft add regula netdev foo bar igmp type membership-query counter drop

  • Possibilitas variabilium utendi ad vincula transitus definiendas (jump/goto). Exempli gratia:

    define dest = ber
    adde regulae ip foo talea jump $dest

  • Subsidium pro personis ad cognoscendas systemata operativa (OS Fingerprint) innixa TTL valores in capite. Exempli gratia, notare facis ex mittentis OS, imperio uti potes:

    meta meta designata osf ttl skip name map {"Linux" : 0x1;
    "Fenestra": 0x2;
    "MacOS": 0x3,
    "ignotum" : 0x0 }
    ... osf ttl skip versionem "Linux: 4.20"

  • Facultas congruit ARP inscriptioni mittentis et IPv4 electronica systematis target. Exempli gratia, ut occurratur ARP fasciculi ab inscriptione 192.168.2.1 missi, hac regula uti potes:

    table arp x {
    torquem y {
    type filter hook input prior filter; consilium accipio;
    arp saddr ip 192.168.2.1 counter packets 1 bytes 46
    }
    }

  • Firmamentum est perspicuum postulationum transmissio per procuratorem (tproxy). Eg redirectio vocat ad portum 80 ad ineundo 8080 portum;

    table IP x {
    torquem y {
    type filter hook prerouting prior -150; consilium accipio;
    tcp dport LXXX tproxy ad: 80
    }
    }

  • Support notationis bases cum facultate ad ulteriores obtinendas notam per setockoptam () in modo SO_MARK. Exempli gratia:

    table inet x {
    torquem y {
    type filter hook prerouting prior -150; consilium accipio;
    tcp dport (VIII)LXXX signum nervum posuit marcam
    }
    }

  • Support ad specificationem prioritatem nominum textuum vincularum. Exempli gratia:

    nft adde catena ip x rudis { genus colum hamum prerouting prioritatem crudam ; }
    nft adde catena ip x colum { genus filter hamum prius colum prærouting ; }
    nft adde catena ip x filter_later { type filter hook prerouting prioritatem filter + 10; }

  • Support for SELinux tags (Secmark). Exempli causa, "sshtag" tag in contextu SELinux definire potes;

    nft add secmark inet filter sshtag "system_u:object_r:ssh_server_packet_t:s0"

    Tum uti hoc pittacium in regulis:

    nft add regula inet filter input tcp dport 22 meta secmark set "sshtag"

    nft add map inet filter secmapping {type inet_service : secmark; }
    nft add inet filter secmapping {22: "sshtag" }
    nft add regula inet filter input meta secmark pone tcp dport map @secmapping

  • Facultas portus specificandi assignatos protocolla in forma textu, prout in tabella /etc/officiis definiuntur. Exempli gratia:

    nft add regulae xy tcp dport "ssh"
    nft -l list ruleset
    mensa x {
    torquem y {
    ...
    tcp dport "ssh"
    }
    }

  • Facultatem ad retis rationem interface reprehendo. Exempli gratia:

    adde regulae inet rudis meta iifkind "vrf" accept

  • Melius subsidium dynamice adaequationis contenta statutorum expressis specificans vexillum "dynamice". Exempli gratia, ad renovationem paro "s" addere fontem inscriptionis et ingressum retexere, si nullae sunt pro 30 secundis fasciculis:

    adde mensam x *
    add set xs { type ipv4_addr; magnitudo 128; timeout 30s; vexilla dynamica; }
    adde catenam xy {genus filter hamum input prioritatem 0; }
    regulae xy update @s { ip saddr adde

  • Facultatem ad conditionem separatum timeout. Exempli gratia, ut vincat defaltam timeout pro facis venientes in portum 8888, specificare potes:

    table IP filter {
    ct timeout infestantibus, TCP {
    protocollum xco;
    l3proto ip;
    policy = {stablished: 100, close_wait: 4, close: 4}
    }
    catena output {
    ...
    tcp dport 8888 ct timeout set "infestus-tcp"
    }
    }

  • NAT auxilium pro inet familia;

    table inet nat {
    ...
    ip6 daddr mortuus ::2::1 mortuus mortuus :::2
    }

  • Improved error typo renuntiationes:

    nft addendi torquem filter test

    Error: No such file or directory; significas mensam "filter" in familia ip?
    adde torquem filter test
    ^^^^^^

  • Facultatem specificare interface nomina in occidere:

    set sc {
    type inet_service. ifname
    elementa = { "ssh" . "eth0" }
    }

  • Fluttable praecepta syntaxin Updated:

    nft addendi mensam x *
    nft add flowtable x ft { hamo ingressu priori 0; cogitationes = { eth0, wlan0 }; }
    ...
    nft addendi regulam x deinceps ip protocollo { tcp, udp} addunt @ft

  • JSON auxilium emendatum.

Source: opennet.ru

Add a comment