O nível do kernel fornece apenas uma interface genérica independente de protocolo que fornece funções básicas para extrair dados de pacotes, realizar operações de dados e controlar o fluxo. As regras de filtragem e manipuladores específicos do protocolo são compilados em bytecode no espaço do usuário, após o qual esse bytecode é carregado no kernel usando a interface Netlink e executado no kernel em uma máquina virtual especial que lembra BPF (Berkeley Packet Filters). Essa abordagem permite reduzir significativamente o tamanho do código de filtragem em execução no nível do kernel e mover todas as funções de análise de regras e lógica para trabalhar com protocolos para o espaço do usuário.
Principais inovações:
- Suporte para contadores de pacotes e tráfego associados a elementos de conjunto foi adicionado aos conjuntos. Os contadores são habilitados usando a palavra-chave “counter”:
ip da tabela x {
definir y {
tipo de ip saddr
contrariar
elementos = {192.168.10.35, 192.168.10.101, 192.168.10.135}
}cadeia z {
tipo filtro gancho filtro de prioridade de saída; política aceita;
ip pai @y
}
} - Para definir os valores iniciais dos contadores, por exemplo, para restaurar contadores anteriores após uma reinicialização, você pode usar o comando “nft -f”:
# gato conjunto de regras.nft
ip da tabela x {
definir y {
tipo de ip saddr
contrariar
elementos = { 192.168.10.35 contador pacotes 1 bytes 84, 192.168.10.101 \
contador p 192.168.10.135 contador de pacotes 0 bytes 0 }
}cadeia z {
tipo filtro gancho filtro de prioridade de saída; política aceita;
ip pai @y
}
}
# nft -f conjunto de regras.nft
Conjunto de regras da lista #nft
ip da tabela x {
definir y {
tipo de ip saddr
contrariar
elementos = { 192.168.10.35 contador pacotes 1 bytes 84, 192.168.10.101 \
contador p 192.168.10.135 contador de pacotes 0 bytes 0 }
}cadeia z {
tipo filtro gancho filtro de prioridade de saída; política aceita;
ip pai @y
}
} - O suporte de contador também foi adicionado ao flowtable:
tabela ip foo {
barra de fluxo {
prioridade de entrada do gancho -100
dispositivos = {eth0, eth1}
contrariar
}cadeia para frente {
tipo filtro gancho filtro de prioridade direta;
fluxo adicionar @bar contador
}
}Você pode visualizar a lista de contadores usando o comando “conntrack -L”:
tcp 6 src=192.168.10.2 dst=10.0.1.2 sport=47278 dport=5201 pacotes=9 bytes=608 \
src=10.0.1.2 dst=10.0.1.1 sport=5201 dport=47278 pacotes=8 bytes=428 [OFFLOAD] mark=0 \
secctx=nulo uso=2 tcp 6 src=192.168.10.2 dst=10.0.1.2 esporte=47280 dport=5201 \
pacotes=1005763 bytes=44075714753 src=10.0.1.2 dst=10.0.1.1 sport=5201 dport=47280 \
pacotes = 967505 bytes = 50310268 marca [OFFLOAD] = 0 secctx = uso nulo = 2 - Em conjuntos para concatenação (concatenação, certos pacotes de endereços e portas que simplificam a comparação), é possível utilizar a diretiva “typeof”, que determina o tipo de dados dos elementos para as partes constituintes dos elementos do conjunto:
tabela ip foo {
definir lista de permissões {
tipo de ip saddr. porta tcp
elementos = { 192.168.10.35. 80, 192.168.10.101. 80}
}barra de corrente {
tipo filtro gancho pré-roteamento filtro de prioridade; queda da política;
ip pai. tcp dport @whitelist aceitar
}
} - A diretiva typeof agora também se aplica a junções em listas de mapas:
tabela ip foo {
mapa addr2mark {
tipo de ip saddr. tcp dport: metamarca
elementos = { 192.168.10.35. 80: 0x00000001,
192.168.10.135. 80: 0x00000002}
}barra de corrente {
tipo filtro gancho pré-roteamento filtro de prioridade; queda da política;
meta marca definir ip daddr. mapa tcp dport @ addr2mark aceitar
}
} - Adicionado suporte para junções de intervalo em conjuntos anônimos (sem nome):
# nft adicionar regra inet filter input ip daddr . porta tcp\
{10.0.0.0/8. 10-23, 192.168.1.1-192.168.3.8. 80-443 } aceitar - É fornecida a capacidade de descartar pacotes com sinalizadores 802.1q (VLAN) ao processar pontes de rede:
# nft adicionar regra bridge foo bar ether tipo vlan rejeitar com redefinição de tcp
- Adicionado suporte para correspondência por identificador de sessão TCP (ID conntrack). Para determinar o ID do conntrack, você pode usar a opção “--output id”:
# conntrack -L —id de saída
udp 17 18 src=192.168.2.118 dst=192.168.2.1 sport=36424 dport=53 pacotes=2 \
bytes=122 src=192.168.2.1 dst=192.168.2.118 sport=53 dport=36424 pacotes=2 bytes=320 \
[ASSEGURADO] marca = 0 uso = 1 id = 2779986232# nft adicionar regra foo bar ct id 2779986232 contador
Fonte: opennet.ru