🥇 Ослободување филтер на пакети nftables 1.0.0

Објавено е објавувањето на пакетните филтри nftables 1.0.0, обединувајќи ги интерфејсите за филтрирање пакети за IPv4, IPv6, ARP и мрежни мостови (наменети кон замена на iptables, ip6table, arptables и ebtables). Промените што се потребни за да функционира издавањето на nftables 1.0.0 се вклучени во кернелот Linux 5.13. Значајната промена во бројот на верзијата не е поврзана со никакви фундаментални промени, туку е само последица на постојаното продолжување на нумерирањето во децимална нотација (претходното издание беше 0.9.9).

Пакетот nftables вклучува компоненти за филтер за пакети кои работат во корисничкиот простор, додека работата на ниво на јадрото е обезбедена од потсистемот nf_tables, кој е дел од кернелот Линукс од објавувањето 3.13. Нивото на јадрото обезбедува само генерички интерфејс независен од протокол кој обезбедува основни функции за извлекување податоци од пакети, извршување операции со податоци и контрола на протокот.

Самите правила за филтрирање и ракувачите специфични за протоколот се компајлираат во бајтекод на кориснички простор, по што овој бајтекод се вчитува во кернелот со помош на интерфејсот на Netlink и се извршува во кернелот во специјална виртуелна машина што личи на BPF (Berkeley Packet Filters). Овој пристап овозможува значително да се намали големината на кодот за филтрирање што работи на ниво на јадрото и да се преместат сите функции на правилата за парсирање и логиката на работа со протоколи во корисничкиот простор.

Главните иновации:

Поддршката за елементот маска „*“ е додадена во списоците со множества, што се активира за сите пакети што не спаѓаат во други елементи дефинирани во сетот. табела x { мапа блок листа { тип ipv4_addr : пресуда знаменца интервал елементи = { 192.168.0.0/16 : прифати, 10.0.0.0/8 : прифати, * : пад } } синџир y { тип филтер кука за предрутирање приоритет 0; политика прифати; ip saddr vmap @blocklist } }
Можно е да се дефинираат променливи од командната линија користејќи ја опцијата „--define“. # cat test.nft табела netdev x { синџир y { тип уреди за влез на кука за филтер = приоритет на $dev 0; пад на политиката; } } # nft —define dev="{ eth0, eth1 }" -f test.nft
Во списоците на карти, дозволена е употреба на константни (stateful) изрази: table inet filter { map portmap { type inet_service : verdict counter elements = { 22 counter пакети 0 bytes 0 : jump ssh_input, * counter пакети 0 bytes 0 : drop } } chain ssh_input { } chain wan_input { tcp dport vmap @portmap } chain prerouting { type filter hook prerouting priority raw; политика прифати; iif vmap { "lo" : jump wan_input } } }
Додадена е команда „листа куки“ за прикажување листа на ракувачи за дадена фамилија на пакети: # nft листа куки ip уред eth0 фамилија ip { hook ingress { +0000000010 синџир netdev xy [nf_tables] +0000000300 синџир inet mw [nf} hookables inputs] { -0000000100 синџир ip ab [nf_tables] +0000000300 синџир inet mz [nf_tables] } кука напред { -0000000225 selinux_ipv4_forward 0000000000 синџир ip акционерски [nf_tokable] {0000000225} _ipv4_output } кука пострутирање { +0000000225 4 selinux_ipvXNUMX_postroute } }
Блоковите на редици дозволуваат jhash, symhash и numgen изрази да се комбинираат за да се дистрибуираат пакети во редици во корисничкиот простор. … ред до symhash mod 65536 … редицата означува бајпас до numgen inc mod 65536 … ред до jhash oif . мета ознака mod 32 „редица“ може да се комбинира и со листи на мапи за да се избере редица во корисничкиот простор врз основа на произволни клучеви. ... редицата означува заобиколување на картата oifname { "eth0" : 0, "ppp0" : 2, "eth1" : 2 }
Можно е да се прошират променливите што вклучуваат збирка листа во неколку мапи. дефинирај интерфејси = { eth0, eth1 } табела ip x { синџир y { тип приоритет на влезната кука за филтер 0; политика прифати; iifname vmap { lo : прифати, $interfaces : drop } } } # nft -f x.nft # nft list табела со правила ip x { синџир y { тип филтер кука за влез приоритет 0; политика прифати; iifname vmap { "lo" : прифати, "eth0" : drop, "eth1" : drop } }
Дозволено е комбинирање на vmaps (карта на пресуди) во интервали: # nft додадете правило xy tcp dport . ip saddr vmap {1025-65535. 192.168.10.2 : прифати }
Поедноставена синтакса за NAT мапирања. Дозволено е да се специфицираат опсези на адреси: ... snat to ip saddr map { 10.141.11.4 : 192.168.2.2-192.168.2.4 } или експлицитни IP адреси и порти: ... dnat до ip saddr map { 10.141.11.4 : 192.168.2.3-80 } или експлицитни IP адреси и порти: ... dnat до ip saddr map { 192.168.1.2:80. . 10.141.10.2 } или комбинации на опсег на IP и порти: ... dnat to ip saddr . tcp dport мапа {10.141.10.5. 8888: 8999-XNUMX. XNUMX-XNUMX }

Извор: opennet.ru

nftables пакет филтер 1.0.0 ослободување

Додадете коментар Откажи одговор