nftables packet filter release 0.9.1

ຫຼັງຈາກປີຂອງການພັດທະນາ ນຳ ສະ ເໜີ ການປ່ອຍຕົວກອງແພັກເກັດ nftables 0.9.1, ການພັດທະນາເປັນການທົດແທນສໍາລັບ iptables, ip6table, arptables ແລະ ebtables ໂດຍ unifying packet filtering interfaces ສໍາລັບ IPv4, IPv6, ARP ແລະຂົວເຄືອຂ່າຍ. ຊຸດ nftables ປະກອບມີອົງປະກອບການກັ່ນຕອງແພັກເກັດທີ່ດໍາເນີນການຢູ່ໃນພື້ນທີ່ຂອງຜູ້ໃຊ້, ໃນຂະນະທີ່ການເຮັດວຽກໃນລະດັບ kernel ແມ່ນສະຫນອງໃຫ້ໂດຍລະບົບຍ່ອຍ nf_tables, ເຊິ່ງເປັນສ່ວນຫນຶ່ງຂອງ Linux kernel ນັບຕັ້ງແຕ່ການປ່ອຍ 3.13.

ລະດັບ kernel ສະຫນອງພຽງແຕ່ສ່ວນຕິດຕໍ່ແບບເອກະລາດຂອງໂປໂຕຄອນທົ່ວໄປທີ່ສະຫນອງຫນ້າທີ່ພື້ນຖານສໍາລັບການສະກັດຂໍ້ມູນຈາກແພັກເກັດ, ປະຕິບັດການຂໍ້ມູນ, ແລະການຄວບຄຸມການໄຫຼ.
ເຫດຜົນການກັ່ນຕອງຕົວມັນເອງແລະຕົວຈັດການສະເພາະຂອງໂປໂຕຄອນໄດ້ຖືກລວບລວມເຂົ້າໄປໃນ bytecode ໃນພື້ນທີ່ຜູ້ໃຊ້, ຫຼັງຈາກນັ້ນ bytecode ນີ້ຖືກໂຫລດເຂົ້າໄປໃນ kernel ໂດຍໃຊ້ການໂຕ້ຕອບ Netlink ແລະຖືກປະຕິບັດໃນເຄື່ອງ virtual ພິເສດທີ່ລະນຶກເຖິງ BPF (Berkeley Packet Filters). ວິທີການນີ້ຊ່ວຍໃຫ້ທ່ານສາມາດຫຼຸດລົງຢ່າງຫຼວງຫຼາຍຂອງລະຫັດການກັ່ນຕອງທີ່ເຮັດວຽກຢູ່ໃນລະດັບແກ່ນແລະຍ້າຍຫນ້າທີ່ທັງຫມົດຂອງກົດລະບຽບການແຍກແລະເຫດຜົນສໍາລັບການເຮັດວຽກກັບໂປໂຕຄອນເຂົ້າໄປໃນພື້ນທີ່ຂອງຜູ້ໃຊ້.

ນະວັດຕະກໍາຕົ້ນຕໍ:

• ຮອງຮັບ IPsec, ອະນຸຍາດໃຫ້ຈັບຄູ່ທີ່ຢູ່ອຸໂມງໂດຍອີງໃສ່ແພັກເກັດ, ID ຄໍາຮ້ອງຂໍ IPsec, ແລະແທັກ SPI (Security Parameter Index). ຍົກ​ຕົວ​ຢ່າງ,

  ... ipsec ໃນ ip saddr 192.168.1.0/24
  ... ipsec ໃນ spi 1-65536

  ມັນຍັງເປັນໄປໄດ້ທີ່ຈະກວດເບິ່ງວ່າເສັ້ນທາງໃດຜ່ານອຸໂມງ IPsec. ຕົວຢ່າງ, ເພື່ອສະກັດການຈະລາຈອນບໍ່ຜ່ານ IPSec:

  … ການກັ່ນຕອງຜົນຜະລິດ rt ipsec ຂາດຫາຍໄປ

• ສະຫນັບສະຫນູນ IGMP (Internet Group Management Protocol). ຕົວຢ່າງ, ທ່ານສາມາດນໍາໃຊ້ກົດລະບຽບເພື່ອຍົກເລີກການຮ້ອງຂໍການເປັນສະມາຊິກກຸ່ມ IGMP ທີ່ເຂົ້າມາ

  nft ເພີ່ມກົດລະບຽບ netdev foo bar igmp type membership-query counter drop

• ຄວາມເປັນໄປໄດ້ຂອງການນໍາໃຊ້ຕົວແປເພື່ອກໍານົດລະບົບຕ່ອງໂສ້ການປ່ຽນແປງ (jump / goto). ຍົກ​ຕົວ​ຢ່າງ:

  ກໍານົດ dest = ber
  ເພີ່ມກົດລະບຽບ ip foo bar jump $dest

• ສະຫນັບສະຫນູນຫນ້າກາກເພື່ອກໍານົດລະບົບປະຕິບັດການ (OS Fingerprint) ໂດຍອີງໃສ່ຄ່າ TTL ໃນສ່ວນຫົວ. ຕົວຢ່າງ, ເພື່ອຫມາຍແພັກເກັດໂດຍອີງໃສ່ OS ຜູ້ສົ່ງ, ທ່ານສາມາດນໍາໃຊ້ຄໍາສັ່ງ:

  ... meta mark set osf ttl ຂ້າມຊື່ແຜນທີ່ { "Linux" : 0x1,
  "Windows": 0x2,
  "MacOS": 0x3,
  "unknown": 0x0 }
  ... osf ttl ຂ້າມເວີຊັນ "Linux: 4.20"

• ຄວາມສາມາດໃນການຈັບຄູ່ທີ່ຢູ່ ARP ຂອງຜູ້ສົ່ງແລະທີ່ຢູ່ IPv4 ຂອງລະບົບເປົ້າຫມາຍ. ຕົວຢ່າງ, ເພື່ອເພີ່ມຕົວນັບຂອງແພັກເກັດ ARP ທີ່ສົ່ງມາຈາກທີ່ຢູ່ 192.168.2.1, ທ່ານສາມາດນໍາໃຊ້ກົດລະບຽບຕໍ່ໄປນີ້:

  ຕາຕະລາງ arp x {
  ໂສ້ y {
  type filter hook input filter priority; ນະໂຍບາຍຍອມຮັບ;
  arp saddr ip 192.168.2.1 counter packets 1 bytes 46
  }
  }

• ສະຫນັບສະຫນູນການສົ່ງຕໍ່ທີ່ໂປ່ງໃສຂອງຄໍາຮ້ອງຂໍຜ່ານຕົວແທນ (tproxy). ຕົວຢ່າງ, ເພື່ອປ່ຽນເສັ້ນທາງການໂທໄປຫາພອດ 80 ໄປຫາພອດພຣັອກຊີ 8080:

  ຕາຕະລາງ ip x {
  ໂສ້ y {
  type filter hook prerouting priority -150; ນະໂຍບາຍຍອມຮັບ;
  tcp dport 80 tproxy ເຖິງ :8080
  }
  }

• ສະຫນັບສະຫນູນສໍາລັບການຫມາຍ sockets ມີຄວາມສາມາດທີ່ຈະເພີ່ມເຕີມໄດ້ກໍານົດໄວ້ໂດຍຜ່ານ setsockopt() ໃນໂຫມດ SO_MARK. ຍົກ​ຕົວ​ຢ່າງ:

  ຕາຕະລາງ inet x {
  ໂສ້ y {
  type filter hook prerouting priority -150; ນະໂຍບາຍຍອມຮັບ;
  tcp dport 8080 mark set socket mark
  }
  }

• ສະຫນັບສະຫນູນສໍາລັບການລະບຸຊື່ຂໍ້ຄວາມບູລິມະສິດສໍາລັບຕ່ອງໂສ້. ຍົກ​ຕົວ​ຢ່າງ:

  nft ເພີ່ມຕ່ອງໂສ້ ip x raw { type filter hook prerouting priority raw; }
  nft ເພີ່ມຕ່ອງໂສ້ ip x filter { type filter hook prerouting priority filter; }
  nft ເພີ່ມລະບົບຕ່ອງໂສ້ ip x filter_later { type filter hook prerouting priority filter + 10; }

• ສະຫນັບສະຫນູນ SELinux tags (Secmark). ຕົວຢ່າງ, ເພື່ອກໍານົດແທັກ "sshtag" ໃນບໍລິບົດ SELinux, ທ່ານສາມາດດໍາເນີນການ:

  nft ເພີ່ມ secmark inet filter sshtag "system_u:object_r:ssh_server_packet_t:s0"

  ແລະຫຼັງຈາກນັ້ນນໍາໃຊ້ປ້າຍນີ້ໃນກົດລະບຽບ:

  nft ເພີ່ມກົດລະບຽບ inet filter input tcp dport 22 meta secmark set “sshtag”

  nft ເພີ່ມແຜນທີ່ inet filter secmapping { type inet_service : secmark; }
  nft ເພີ່ມອົງປະກອບ inet filter secmapping { 22 : "sshtag" }
  nft ເພີ່ມກົດລະບຽບ inet filter input meta secmark set tcp dport map @secmapping

• ຄວາມສາມາດໃນການລະບຸພອດທີ່ມອບຫມາຍໃຫ້ໂປໂຕຄອນໃນຮູບແບບຂໍ້ຄວາມ, ຍ້ອນວ່າພວກມັນຖືກກໍານົດໄວ້ໃນໄຟລ໌ /etc/services. ຍົກ​ຕົວ​ຢ່າງ:

  nft ເພີ່ມກົດລະບຽບ xy tcp dport "ssh"
  nft ບັນຊີລາຍຊື່ກົດລະບຽບ -l
  ຕາຕະລາງ x {
  ໂສ້ y {
  ...
  tcp dport "ssh"
  }
  }

• ຄວາມສາມາດໃນການກວດສອບປະເພດຂອງການໂຕ້ຕອບເຄືອຂ່າຍ. ຍົກ​ຕົວ​ຢ່າງ:

  ເພີ່ມກົດລະບຽບ inet raw prerouting meta iifkind "vrf" ຍອມຮັບ

• ປັບປຸງການສະຫນັບສະຫນູນສໍາລັບການປັບປຸງເນື້ອໃນຂອງຊຸດໂດຍການກໍານົດທຸງ "dynamic" ຢ່າງຊັດເຈນ. ຕົວຢ່າງ, ເພື່ອປັບປຸງຊຸດ "s" ເພື່ອເພີ່ມທີ່ຢູ່ແຫຼ່ງແລະປັບການເຂົ້າໃຫມ່ຖ້າບໍ່ມີແພັກເກັດເປັນເວລາ 30 ວິນາທີ:

  ເພີ່ມຕາຕະລາງ x
  ເພີ່ມຊຸດ xs { ປະເພດ ipv4_addr; ຂະໜາດ 128; ໝົດເວລາ 30s; ທຸງແບບເຄື່ອນໄຫວ; }
  add chain xy { type filter hook input priority 0; }
  ເພີ່ມກົດລະບຽບ xy update @s { ip saddr }

• ຄວາມສາມາດໃນການກໍານົດເງື່ອນໄຂການຫມົດເວລາແຍກຕ່າງຫາກ. ຕົວຢ່າງ, ເພື່ອລົບລ້າງການໝົດເວລາເລີ່ມຕົ້ນຂອງແພັກເກັດທີ່ມາຮອດພອດ 8888, ທ່ານສາມາດລະບຸ:

  ຕົວກອງ ip ຕາຕະລາງ {
  ct timeout aggressive-tcp {
  tcp ພິທີການ;
  l3proto ip;
  policy = {established: 100, close_wait: 4, close: 4}
  }
  ຜົນຜະລິດລະບົບຕ່ອງໂສ້ {
  ...
  tcp dport 8888 ct timeout set "aggressive-tcp"
  }
  }

• ສະຫນັບສະຫນູນ NAT ສໍາລັບຄອບຄົວ inet:

  ຕາຕະລາງ inet nat {
  ...
  ip6 daddr ຕາຍ::2::1 dnat ກັບຕາຍ:2::99
  }

• ປັບປຸງຄວາມສາມາດໃນການລາຍງານຂໍ້ຜິດພາດເນື່ອງຈາກການພິມຜິດ:

  nft ເພີ່ມການທົດສອບການກັ່ນຕອງລະບົບຕ່ອງໂສ້

  ຜິດພາດ: ບໍ່ມີໄຟລ໌ ຫຼືໄດເລກະທໍລີດັ່ງກ່າວ; ທ່ານຫມາຍຄວາມວ່າຕາຕະລາງ "ການກັ່ນຕອງ" ໃນ ip ຄອບຄົວບໍ?
  ເພີ່ມການທົດສອບການກັ່ນຕອງລະບົບຕ່ອງໂສ້
  ^^^^ ລະ ^^

• ຄວາມ​ສາ​ມາດ​ທີ່​ຈະ​ລະ​ບຸ​ຊື່​ການ​ໂຕ້​ຕອບ​ໃນ​ຊຸດ​:

  ຕັ້ງ sc {
  ພິມ inet_service . ifname
  ອົງປະກອບ = { "ssh". "eth0" }
  }

• ປັບປຸງ syntax ກົດ flowtable:

  nft ເພີ່ມຕາຕະລາງ x
  nft ເພີ່ມ flowtable x ft { hook ingress priority 0; ອຸປະກອນ = { eth0, wlan0 }; }
  ...
  nft ເພີ່ມກົດລະບຽບ x forward ip protocol { tcp, udp } flow add @ft

• ປັບປຸງການຮອງຮັບ JSON.

ແຫຼ່ງຂໍ້ມູນ: opennet.ru