🥇 nftables 0.9.1 पॅकेट फिल्टर रिलीज

विकासाच्या एका वर्षानंतर सादर पॅकेट फिल्टर रिलीझ nftables 0.9.1, IPv6, IPv4, ARP आणि नेटवर्क ब्रिजसाठी पॅकेट फिल्टरिंग इंटरफेस एकत्रित करून iptables, ip6table, arptables आणि ebtables साठी बदली म्हणून विकसित होत आहे. nftables पॅकेजमध्ये पॅकेट फिल्टर घटक समाविष्ट आहेत जे वापरकर्ता स्पेसमध्ये चालतात, तर कर्नल-स्तरीय कार्य nf_tables उपप्रणालीद्वारे पुरवले जाते, जे रिलीज 3.13 पासून Linux कर्नलचा भाग आहे.

कर्नल स्तर फक्त एक सामान्य प्रोटोकॉल-स्वतंत्र इंटरफेस प्रदान करतो जो पॅकेट्समधून डेटा काढण्यासाठी, डेटा ऑपरेशन्स करण्यासाठी आणि प्रवाह नियंत्रणासाठी मूलभूत कार्ये प्रदान करतो.
फिल्टरिंग लॉजिक स्वतः आणि प्रोटोकॉल-विशिष्ट हँडलर्स युजर स्पेसमधील बायटेकोडमध्ये संकलित केले जातात, त्यानंतर हा बायकोड नेटलिंक इंटरफेस वापरून कर्नलमध्ये लोड केला जातो आणि BPF (बर्कले पॅकेट फिल्टर्स) ची आठवण करून देणार्‍या विशेष व्हर्च्युअल मशीनमध्ये कार्यान्वित केला जातो. हा दृष्टिकोन तुम्हाला कर्नल स्तरावर चालणार्‍या फिल्टरिंग कोडचा आकार लक्षणीयरीत्या कमी करण्यास आणि प्रोटोकॉलसह कार्य करण्यासाठी वापरकर्ता स्पेसमध्ये नियम आणि तर्कशास्त्र पार्सिंगची सर्व कार्ये हलविण्याची परवानगी देतो.

मुख्य नवकल्पना:

IPsec समर्थन, पॅकेट, IPsec विनंती आयडी आणि SPI (सुरक्षा पॅरामीटर इंडेक्स) टॅगवर आधारित बोगद्याच्या पत्त्यांची जुळणी करण्यास अनुमती देते. उदाहरणार्थ,
... ipsec मध्ये ip sadr 192.168.1.0/24
... ipsec in spi 1-65536

मार्ग IPsec बोगद्यामधून जातो की नाही हे तपासणे देखील शक्य आहे. उदाहरणार्थ, IPSec मार्गे न रहदारी अवरोधित करण्यासाठी:

… फिल्टर आउटपुट rt ipsec गहाळ ड्रॉप
IGMP (इंटरनेट ग्रुप मॅनेजमेंट प्रोटोकॉल) साठी समर्थन. उदाहरणार्थ, तुम्ही येणार्‍या IGMP गट सदस्यत्व विनंत्या टाकून देण्यासाठी नियम वापरू शकता
nft जोडा नियम netdev foo बार igmp प्रकार सदस्यत्व-क्वेरी काउंटर ड्रॉप
संक्रमण साखळी (जंप / गोटो) परिभाषित करण्यासाठी व्हेरिएबल्स वापरण्याची शक्यता. उदाहरणार्थ:
dest = ber परिभाषित करा
नियम ip foo बार जंप $dest जोडा
हेडरमधील TTL मूल्यांवर आधारित ऑपरेटिंग सिस्टम (OS फिंगरप्रिंट) ओळखण्यासाठी मास्कसाठी समर्थन. उदाहरणार्थ, प्रेषक OS वर आधारित पॅकेट चिन्हांकित करण्यासाठी, तुम्ही कमांड वापरू शकता:
... मेटा मार्क सेट osf ttl वगळा नाव नकाशा { "Linux" : 0x1,
"विंडोज": 0x2,
"MacOS": 0x3,
"अज्ञात" : 0x0 }
... osf ttl वगळा आवृत्ती "Linux:4.20"
प्रेषकाचा ARP पत्ता आणि लक्ष्य प्रणालीचा IPv4 पत्ता जुळण्याची क्षमता. उदाहरणार्थ, 192.168.2.1 पत्त्यावरून पाठवलेल्या ARP पॅकेट्सचे काउंटर वाढवण्यासाठी, तुम्ही खालील नियम वापरू शकता:
टेबल arp x {
साखळी y {
फिल्टर हुक इनपुट प्राधान्य फिल्टर टाइप करा; धोरण स्वीकारणे;
arp saddr ip 192.168.2.1 काउंटर पॅकेट 1 बाइट्स 46
}
}
प्रॉक्सी (tproxy) द्वारे विनंत्या पारदर्शक अग्रेषित करण्यासाठी समर्थन. उदाहरणार्थ, पोर्ट 80 वर कॉल प्रॉक्सी पोर्ट 8080 वर पुनर्निर्देशित करण्यासाठी:
टेबल ip x {
साखळी y {
प्रकार फिल्टर हुक प्रीरूटिंग प्राधान्य -150; धोरण स्वीकारणे;
tcp dport 80 tproxy to :8080
}
}
SO_MARK मोडमध्ये setsockopt() द्वारे सेट मार्क प्राप्त करण्याच्या क्षमतेसह सॉकेट चिन्हांकित करण्यासाठी समर्थन. उदाहरणार्थ:
टेबल inet x {
साखळी y {
प्रकार फिल्टर हुक प्रीरूटिंग प्राधान्य -150; धोरण स्वीकारणे;
tcp dport 8080 मार्क सेट सॉकेट मार्क
}
}
साखळींसाठी प्राधान्य मजकूर नावे निर्दिष्ट करण्यासाठी समर्थन. उदाहरणार्थ:
nft साखळी जोडा ip x raw { टाईप फिल्टर हुक प्रीरूटिंग प्रायॉरिटी रॉ; }
nft चेन ip x फिल्टर जोडा { टाईप फिल्टर हुक प्रीरूटिंग प्रायोरिटी फिल्टर; }
nft चेन जोडा ip x filter_later { टाईप फिल्टर हुक प्रीरूटिंग प्रायोरिटी फिल्टर + 10; }
SELinux टॅगसाठी समर्थन (सेकमार्क). उदाहरणार्थ, SELinux संदर्भात "sshtag" टॅग परिभाषित करण्यासाठी, तुम्ही चालवू शकता:
nft secmark inet फिल्टर sshtag "system_u:object_r:ssh_server_packet_t:s0" जोडा

आणि नंतर हे लेबल नियमांमध्ये वापरा:

nft जोडा नियम inet फिल्टर इनपुट tcp dport 22 मेटा सेकमार्क सेट "sshtag"

एनएफटी मॅप इनेट फिल्टर सेकमॅपिंग जोडा { प्रकार inet_service : secmark; }
एनएफटी ऍड एलिमेंट इनेट फिल्टर सेकमॅपिंग { 22 : "sshtag" }
nft जोडा नियम inet फिल्टर इनपुट मेटा secmark सेट tcp dport नकाशा @secmapping
मजकूर स्वरूपात प्रोटोकॉलला नियुक्त केलेले पोर्ट निर्दिष्ट करण्याची क्षमता, जसे की ते /etc/services फाइलमध्ये परिभाषित केले आहेत. उदाहरणार्थ:
nft नियम xy tcp dport "ssh" जोडा
nft यादी नियमसेट -l
टेबल x {
साखळी y {
...
tcp dport "ssh"
}
}
नेटवर्क इंटरफेसचा प्रकार तपासण्याची क्षमता. उदाहरणार्थ:
नियम inet raw prerouting meta iifkind "vrf" स्वीकारा
"डायनॅमिक" ध्वज स्पष्टपणे निर्दिष्ट करून सेटची सामग्री गतिशीलपणे अद्यतनित करण्यासाठी सुधारित समर्थन. उदाहरणार्थ, स्त्रोत पत्ता जोडण्यासाठी सेट "s" अद्यतनित करण्यासाठी आणि 30 सेकंदांसाठी पॅकेट नसल्यास एंट्री रीसेट करण्यासाठी:
टेबल x जोडा
सेट xs जोडा { type ipv4_addr; आकार 128; कालबाह्य 30s; ध्वज डायनॅमिक; }
चेन xy जोडा { टाईप फिल्टर हुक इनपुट प्रायॉरिटी 0; }
नियम xy अपडेट @s { ip saddr } जोडा
स्वतंत्र कालबाह्य स्थिती सेट करण्याची क्षमता. उदाहरणार्थ, पोर्ट 8888 वर येणार्‍या पॅकेटसाठी डीफॉल्ट टाइमआउट ओव्हरराइड करण्यासाठी, तुम्ही निर्दिष्ट करू शकता:
टेबल आयपी फिल्टर {
ct कालबाह्य आक्रमक-tcp {
प्रोटोकॉल tcp;
l3proto ip;
पॉलिसी = {स्थापित: 100, बंद_प्रतीक्षा: 4, बंद करा: 4}
}
साखळी आउटपुट {
...
tcp dport 8888 ct कालबाह्य सेट "आक्रमक-tcp"
}
}
नेट कुटुंबासाठी NAT समर्थन:
टेबल inet nat {
...
ip6 daddr dead::2::1 dnat to dead:2::99
}
सुधारित टायपो त्रुटी अहवाल:
एनएफटी ऍड चेन फिल्टर चाचणी

त्रुटी: अशी कोणतीही फाइल किंवा निर्देशिका नाही; तुम्हाला फॅमिली आयपी मधील टेबल "फिल्टर" म्हणायचे आहे का?
साखळी फिल्टर चाचणी जोडा
^^^^^^
सेटमध्ये इंटरफेस नावे निर्दिष्ट करण्याची क्षमता:
सेट sc {
inet_service टाइप करा. ifname
घटक = { "ssh" . "eth0" }
}
अद्यतनित फ्लोटेबल नियम वाक्यरचना:
nft टेबल x जोडा
nft जोडा फ्लोटेबल x फूट { हुक प्रवेश प्राधान्य 0; उपकरणे = { eth0, wlan0 }; }
...
nft जोडा नियम x फॉरवर्ड ip प्रोटोकॉल { tcp, udp } प्रवाह जोडा @ft
सुधारित JSON समर्थन.

स्त्रोत: opennet.ru

nftables पॅकेट फिल्टर 0.9.1 रिलीज

एक टिप्पणी जोडा Отменить ответ