เดชเดพเดเตเดเดฑเตเดฑเต เดซเดฟเตฝเดเตเดเตผ เดฑเดฟเดฒเตเดธเต , ัะฐะทะฒะธะฒะฐััะตะณะพัั ะฒ ะบะฐัะตััะฒะต ะทะฐะผะตะฝั iptables, ip6table, arptables ะธ ebtables ะทะฐ ัััั ัะฝะธัะธะบะฐัะธะธ ะธะฝัะตััะตะนัะพะฒ ัะธะปัััะฐัะธะธ ะฟะฐะบะตัะพะฒ ะดะปั IPv4, IPv6, ARP ะธ ัะตัะตะฒัั ะผะพััะพะฒ. ะ ะฟะฐะบะตั nftables ะฒั ะพะดัั ะบะพะผะฟะพะฝะตะฝัั ะฟะฐะบะตัะฝะพะณะพ ัะธะปัััะฐ, ัะฐะฑะพัะฐััะธะต ะฒ ะฟัะพัััะฐะฝััะฒะต ะฟะพะปัะทะพะฒะฐัะตะปั, ะฒ ัะพ ะฒัะตะผั ะบะฐะบ ะฝะฐ ััะพะฒะฝะต ัะดัะฐ ัะฐะฑะพัั ะพะฑะตัะฟะตัะธะฒะฐะตั ะฟะพะดัะธััะตะผะฐ nf_tables, ะฒั ะพะดััะฐั ะฒ ัะพััะฐะฒ ัะดัะฐ Linux ะฝะฐัะธะฝะฐั ั ะฒัะฟััะบะฐ 3.13. ะะตะพะฑั ะพะดะธะผัะต ะดะปั ัะฐะฑะพัั ะฒัะฟััะบะฐ nftables 0.9.5 ะธะทะผะตะฝะตะฝะธั ะฒะบะปััะตะฝั ะฒ ัะพััะฐะฒ ัะดัะฐ .
เดชเดพเดเตเดเดฑเตเดฑเตเดเดณเดฟเตฝ เดจเดฟเดจเตเดจเต เดกเดพเดฑเตเดฑ เดเดเตโเดธเตโเดเตเดฐเดพเดเตเดฑเตเดฑเตเดเตเดฏเตเดฏเตเดจเตเดจเดคเดฟเดจเตเด เดกเดพเดฑเตเดฑ เดชเตเดฐเดตเตผเดคเตเดคเดจเดเตเดเตพ เดจเดเดคเตเดคเตเดจเตเดจเดคเดฟเดจเตเด เดซเตเดฒเต เดเตบเดเตเดฐเตเตพ เดเตเดฏเตเดฏเตเดจเตเดจเดคเดฟเดจเตเดฎเตเดณเตเดณ เด เดเดฟเดธเตเดฅเดพเดจ เดชเตเดฐเดตเตผเดคเตเดคเดจเดเตเดเตพ เดจเตฝเดเตเดจเตเดจ เดเดฐเต เดเดจเดฑเดฟเดเต เดชเตเดฐเตเดเตเดเตเดเตเดเตเตพ-เดธเตเดตเดคเดจเตเดคเตเดฐ เดเดจเตเดฑเตผเดซเตเดธเต เดฎเดพเดคเตเดฐเดฎเดพเดฃเต เดเตเตผเดฃเตฝ เดฒเตเดตเตฝ เดจเตฝเดเตเดจเตเดจเดคเต. เดซเดฟเตฝเดเตเดเดฑเดฟเดเดเต เดจเดฟเดฏเดฎเดเตเดเดณเตเด เดชเตเดฐเตเดเตเดเตเดเตเดเตเตพ-เดจเดฟเตผเดฆเตเดฆเดฟเดทเตเด เดนเดพเตปเดกเตโเดฒเดฑเตเดเดณเตเด เดฏเตเดธเตผ เดธเตโเดชเตเดฏเตโเดธเดฟเตฝ เดฌเตเดฑเตเดฑเตโเดเตเดกเดฟเดฒเตเดเตเดเต เดเดเดชเตเตฝ เดเตเดฏเตเดฏเตเดจเตเดจเต, เด เดคเดฟเดจเตเดถเตเดทเด เด เดฌเตเดฑเตเดฑเตโเดเตเดกเต เดจเตเดฑเตเดฑเตโเดฒเดฟเดเตเดเต เดเดจเตเดฑเตผเดซเตเดธเต เดเดชเดฏเตเดเดฟเดเตเดเต เดเตเตผเดฃเดฒเดฟเดฒเตเดเตเดเต เดฒเตเดกเต เดเตเดฏเตเดฏเตเดเดฏเตเด เดฌเดฟเดชเดฟเดเดซเดฟเดจเต (เดฌเตเตผเดเตเดเตโเดฒเดฟ เดชเดพเดเตเดเดฑเตเดฑเต เดซเดฟเตฝเดเตเดเดฑเตเดเตพ) เด เดจเตเดธเตเดฎเดฐเดฟเดชเตเดชเดฟเดเตเดเตเดจเตเดจ เดเดฐเต เดชเตเดฐเดคเตเดฏเตเด เดตเตเตผเดเตเดตเตฝ เดฎเตเดทเตเดจเดฟเตฝ เดเตเตผเดฃเดฒเดฟเตฝ เดเดเตโเดธเดฟเดเตเดฏเตเดเตเดเต เดเตเดฏเตเดฏเตเดเดฏเตเด เดเตเดฏเตเดฏเตเดจเตเดจเต. เดเตเตผเดฃเตฝ เดคเดฒเดคเตเดคเดฟเตฝ เดชเตเดฐเดตเตผเดคเตเดคเดฟเดเตเดเตเดจเตเดจ เดซเดฟเตฝเดเตเดเดฑเดฟเดเดเต เดเตเดกเดฟเดจเตเดฑเต เดตเดฒเตเดชเตเดชเด เดเดฃเตเดฏเดฎเดพเดฏเดฟ เดเตเดฑเดฏเตเดเตเดเตเดจเตเดจเดคเดฟเดจเตเด เดชเตเดฐเตเดเตเดเตเดเตเดเตเดณเตเดเตพเดเตเดเตเดชเตเดชเด เดชเตเดฐเดตเตผเดคเตเดคเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเตเดณเตเดณ เดชเดพเดดเตเดธเดฟเดเดเต เดจเดฟเดฏเดฎเดเตเดเดณเตเดเตเดฏเตเด เดฒเตเดเดฟเดเตเดเตเดเดณเตเดเตเดฏเตเด เดเดฒเตเดฒเดพ เดชเตเดฐเดตเตผเดคเตเดคเดจเดเตเดเดณเตเด เดฏเตเดธเตผ เดธเตเดชเตเดธเดฟเดฒเตเดเตเดเต เดจเตเดเตเดเดพเตป เด เดธเดฎเตเดชเดจเด เดจเดฟเดเตเดเดณเต เด เดจเตเดตเดฆเดฟเดเตเดเตเดจเตเดจเต.
เดชเตเดฐเดงเดพเดจ เดเดฃเตเดเตเดชเดฟเดเตเดคเตเดคเดเตเดเตพ:
- ะ ะฝะฐะฑะพัั ะดะพะฑะฐะฒะปะตะฝะฐ ะฟะพะดะดะตัะถะบะฐ ัััััะธะบะพะฒ ะฟะฐะบะตัะพะฒ ะธ ััะฐัะธะบะฐ, ะฟัะธะฒัะทะฐะฝะฝัั
ะบ ัะปะตะผะตะฝัะฐะผ ะฝะฐะฑะพัะฐ. ะกััััะธะบะธ ะฒะบะปััะฐัััั ะฟัะธ ะฟะพะผะพัะธ ะบะปััะตะฒะพะณะพ ัะปะพะฒะฐ ยซcounterยป:
เดชเดเตเดเดฟเด ip x {
เดธเตเดฑเตเดฑเต y {
เดเดชเดฟ เดธเดพเดกเตโเดกเดฟเตผ เดคเดฐเด
เดเตเดฃเตเดเตผ
เดเดเดเดเตเดเตพ = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
}เดเตเดฏเดฟเตป z {
type filter hook output priority filter; policy accept;
ip daddr @y
}
} - ะะปั ัััะฐะฝะพะฒะบะธ ะฝะฐัะฐะปัะฝัั
ะทะฝะฐัะตะฝะธะน ัััััะธะบะพะฒ, ะฝะฐะฟัะธะผะตั, ะดะปั ะฒะพัััะฐะฝะพะฒะปะตะฝะธั ะฟัะพัะปัั
ัััััะธะบะพะฒ ะฟะพัะปะต ะฟะตัะตะทะฐะฟััะบะฐ, ะฝะฐะฑะพัะฐ ะผะพะถะฝะพ ะธัะฟะพะปัะทะพะฒะฐัั ะบะพะผะฐะฝะดั ยซnft -fยป:
# cat ruleset.nft
เดชเดเตเดเดฟเด ip x {
เดธเตเดฑเตเดฑเต y {
เดเดชเดฟ เดธเดพเดกเตโเดกเดฟเตผ เดคเดฐเด
เดเตเดฃเตเดเตผ
elements = { 192.168.10.35 counter packets 1 bytes 84, 192.168.10.101 \
counter p 192.168.10.135 counter packets 0 bytes 0 }
}เดเตเดฏเดฟเตป z {
type filter hook output priority filter; policy accept;
ip daddr @y
}
}
# nft -f ruleset.nft
# nft list ruleset
เดชเดเตเดเดฟเด ip x {
เดธเตเดฑเตเดฑเต y {
เดเดชเดฟ เดธเดพเดกเตโเดกเดฟเตผ เดคเดฐเด
เดเตเดฃเตเดเตผ
elements = { 192.168.10.35 counter packets 1 bytes 84, 192.168.10.101 \
counter p 192.168.10.135 counter packets 0 bytes 0 }
}เดเตเดฏเดฟเตป z {
type filter hook output priority filter; policy accept;
ip daddr @y
}
} - ะะพะดะดะตัะถะบะฐ ัััััะธะบะพะฒ ัะฐะบะถะต ะดะพะฑะฐะฒะปะตะฝะฐ ะฒะพ flowtable:
เดชเดเตเดเดฟเด ip foo {
flowtable bar {
hook ingress priority -100
devices = { eth0, eth1 }
เดเตเดฃเตเดเตผ
}เดเตเดฏเดฟเตป เดซเตเตผเดตเตเดกเต {
type filter hook forward priority filter;
flow add @bar counter
}
}ะะพัะผะพััะตัั ัะฟะธัะพะบ ัััััะธะบะพะฒ ะผะพะถะฝะพ ะบะพะผะฐะฝะดะฝะพะน ยซconntrack -Lยป:
tcp 6 src=192.168.10.2 dst=10.0.1.2 sport=47278 dport=5201 packets=9 bytes=608 \
src=10.0.1.2 dst=10.0.1.1 sport=5201 dport=47278 packets=8 bytes=428 [OFFLOAD] mark=0 \
secctx=null use=2 tcp 6 src=192.168.10.2 dst=10.0.1.2 sport=47280 dport=5201 \
packets=1005763 bytes=44075714753 src=10.0.1.2 dst=10.0.1.1 sport=5201 dport=47280 \
packets=967505 bytes=50310268 [OFFLOAD] mark=0 secctx=null use=2 - ะ ะฝะฐะฑะพัะฐั
ะดะปั ะฟัะธัะพะตะดะธะฝะตะฝะธะน (concatenation, ะพะฟัะตะดะตะปัะฝะฝัะต ัะฒัะทะบะธ ะฐะดัะตัะพะฒ ะธ ะฟะพััะพะฒ, ัะฟัะพัะฐััะธะต ัะพะฟะพััะฐะฒะปะตะฝะธะต) ะพะฑะตัะฟะตัะตะฝะฐ ะฒะพะทะผะพะถะฝะพััั ะธัะฟะพะปัะทะพะฒะฐะฝะธั ะดะธัะตะบัะธะฒั ยซtypeofยป, ะพะฟัะตะดะตะปัััะตะน ัะธะฟ ะดะฐะฝะฝัั
ัะปะตะผะตะฝัะพะฒ ะดะปั ัะพััะฐะฒะฝัั
ัะฐััะตะน ัะปะตะผะตะฝัะพะฒ ะฝะฐะฑะพัะฐ:
เดชเดเตเดเดฟเด ip foo {
เดตเตเดฑเตเดฑเตโเดฒเดฟเดธเตเดฑเตเดฑเต เดธเดเตเดเตเดเดฐเดฟเดเตเดเตเด {
typeof ip saddr . tcp dport
elements = { 192.168.10.35 . 80, 192.168.10.101 . 80 }
}เดเตเดฏเดฟเตป เดฌเดพเตผ {
เดเตเดชเตเดชเต เดซเดฟเตฝเดเตเดเตผ เดนเตเดเตเดเต เดชเตเดฐเดฟเดฑเตเดเตเดเดฟเดเดเต เดฎเตเตปเดเดฃเดจ เดซเดฟเตฝเดเตเดเตผ; เดจเดฏเดชเดฐเดฎเดพเดฏ เดตเตเดดเตเด;
ip daddr . tcp dport @whitelist accept
}
} - ะะธัะตะบัะธะฒะฐ typeof ัะตะฟะตัั ัะฐะบะถะต ะฟัะธะผะตะฝะธะผะฐ ะดะปั ะฟัะธัะพะตะดะธะฝะตะฝะธะน ะฒ map-ัะฟะธัะบะฐั
:
เดชเดเตเดเดฟเด ip foo {
เดฎเดพเดชเตเดชเต addr2mark {
typeof ip saddr . tcp dport : meta mark
elements = { 192.168.10.35 . 80 : 0x00000001,
192.168.10.135 . 80 : 0x00000002 }
}เดเตเดฏเดฟเตป เดฌเดพเตผ {
เดเตเดชเตเดชเต เดซเดฟเตฝเดเตเดเตผ เดนเตเดเตเดเต เดชเตเดฐเดฟเดฑเตเดเตเดเดฟเดเดเต เดฎเตเตปเดเดฃเดจ เดซเดฟเตฝเดเตเดเตผ; เดจเดฏเดชเดฐเดฎเดพเดฏ เดตเตเดดเตเด;
meta mark set ip daddr . tcp dport map @addr2mark accept
}
} - ะะพะฑะฐะฒะปะตะฝะฐ ะฟะพะดะดะตัะถะบะฐ ะฟัะธัะพะตะดะธะฝะตะฝะธะน ั ะดะธะฐะฟะฐะทะพะฝะฐะผะธ ะฒ ะฐะฝะพะฝะธะผะฝัั
(ะฝะตะธะผะตะฝะพะฒะฐะฝะฝัั
) ะฝะฐะฑะพัะฐั
:
# nft add rule inet filter input ip daddr . tcp dport \
{ 10.0.0.0/8 . 10-23, 192.168.1.1-192.168.3.8 . 80-443 } accept - ะัะตะดะพััะฐะฒะปะตะฝะฐ ะฒะพะทะผะพะถะฝะพััั ะพัะฑัะฐััะฒะฐะฝะธั ะฟะฐะบะตัะพะฒ ั ัะปะฐะณะฐะผะธ 802.1q (VLAN) ะฟัะธ ะพะฑัะฐะฑะพัะบะต ัะตัะตะฒัั
ะผะพััะพะฒ:
# nft add rule bridge foo bar ether type vlan reject with tcp reset
- ะะพะฑะฐะฒะปะตะฝะฐ ะฟะพะดะดะตัะถะบะฐ ัะพะฟะพััะฐะฒะปะตะฝะธั ะฟะพ ะธะดะตะฝัะธัะธะบะฐัะพัั TCP-ัะตะฐะฝัะฐ (conntrack ID). ะะปั ะพะฟัะตะดะตะปะตะฝะธั conntrack ID ะผะพะถะฝะพ ะธัะฟะพะปัะทะพะฒะฐัั ะพะฟัะธั ยซโoutput idยป:
# conntrack -L โoutput id
udp 17 18 src=192.168.2.118 dst=192.168.2.1 sport=36424 dport=53 packets=2 \
bytes=122 src=192.168.2.1 dst=192.168.2.118 sport=53 dport=36424 packets=2 bytes=320 \
[ASSURED] mark=0 use=1 id=2779986232# nft add rule foo bar ct id 2779986232 counter
เด เดตเดฒเดเดฌเด: opennet.ru