Објављено је издање пакетног филтера нфтаблес 1.0.6 које обједињује интерфејсе за филтрирање пакета за ИПв4, ИПв6, АРП и мрежне мостове (са циљем замене иптаблес, ип6табле, арптаблес и ебтаблес). Пакет нфтаблес укључује компоненте филтера пакета које се покрећу у корисничком простору, док рад на нивоу кернела обезбеђује подсистем нф_таблес, који је део Линук кернела од издања 3.13. Ниво кернела обезбеђује само генерички интерфејс независан од протокола који обезбеђује основне функције за издвајање података из пакета, извођење операција са подацима и контролу тока.
Правила филтрирања и руковаоци специфични за протокол се компајлирају у бајткод у корисничком простору, након чега се овај бајт код учитава у језгро помоћу Нетлинк интерфејса и извршава у кернелу у специјалној виртуелној машини која подсећа на БПФ (Беркелеи Пацкет Филтерс). Овај приступ вам омогућава да значајно смањите величину кода за филтрирање који ради на нивоу кернела и преместите све функције рашчлањивања правила и логике за рад са протоколима у кориснички простор.
Главне промене:
- Оптимизатор правила, који се позива када је наведена опција „-о/—оптимизе“, има аутоматско паковање правила тако што их комбинује и конвертује у листе мапа и скупова. На пример, правила # цат рулесет.нфт табле ип к { цхаин и { типе филтер хоок инпут приорити филтер; пад политике; мета иифнаме етх1 ип саддр 1.1.1.1 ип даддр 2.2.2.3 прихвати мета иифнаме етх1 ип саддр 1.1.1.2 ип даддр 2.2.2.4 прихвати мета иифнаме етх1 ип саддр 1.1.1.2 ип даддр 2.2.3.0 ип даддр 24/1 прихвати мета. .1.1.1.2 ип даддр 2.2.4.0-2.2.4.10 прихвати мета иифнаме етх2 ип саддр 1.1.1.3 ип даддр 2.2.2.5 прихвати } } након извршавања "нфт -о -ц -ф рулесет.нфт" ће бити конвертовано у следеће: сет правила нфт:4:17-74: мета иифнаме етх1 ип саддр 1.1.1.1 ип даддр 2.2.2.3 прихвати сет правила.нфт:5:17-74: мета иифнаме етх1 ип саддр 1.1.1.2 ип даддр 2.2.2.4 прихвати правила сет. : 6:17-77: мета иифнаме етх1 ип саддр 1.1.1.2 ип даддр 2.2.3.0/24 аццепт рулесет.нфт:7:17-83: мета иифнаме етх1 ип саддр 1.1.1.2 ип даддр 2.2.4.0-2.2.4.10. прихвати сет правила.нфт:8:17-74: мета иифнаме етх2 ип саддр 1.1.1.3 ип даддр 2.2.2.5 прихвати у: иифнаме . ип саддр. ип даддр { етх1 . 1.1.1.1. 2.2.2.3, етх1 . 1.1.1.2. 2.2.2.4, етх1 . 1.1.1.2. 2.2.3.0/24, етх1 . 1.1.1.2. 2.2.4.0-2.2.4.10, етх2. 1.1.1.3. 2.2.2.5 } прихватити
- Оптимизатор такође може да конвертује правила која већ користе једноставне листе скупова у компактнији облик, на пример правила: # цат рулесет.нфт табле ип филтер { цхаин инпут { типе филтер хоок инпут приорити филтер; пад политике; иифнаме “ло” прихвати цт стање успостављено, сродно прихвати коментар “У саобраћају ми потичемо, верујемо” иифнаме “енп0с31ф6” ип саддр { 209.115.181.102, 216.197.228.230 } ип даддр 10.0.0.149 123 прихвати у32768д спорт 65535 уд0 иифнаме "енп31с6ф64.59.144.17" ип саддр { 64.59.150.133, 10.0.0.149 } ип даддр 53 удп спорт 32768 удп дпорт 65535-6 прихватање } } "} после -фтн" пакета ће следити -фтс -фтн - екецу. : рулесет.нфт:22:149-0: иифнаме "енп31с6ф209.115.181.102" ип саддр { 216.197.228.230, 10.0.0.149 } ип даддр 123 удп спорт 32768:65535фт порт: аццепт. 7 22 :ифнаме "енп143с0ф31" ип саддр { 6, 64.59.144.17 } ип даддр 64.59.150.133 удп спорт 10.0.0.149 удп дпорт 53-32768 прихвати у: иифнаме . ип саддр. ип даддр. удп спорт. удп дпорт { енп65535с0ф31 . 6. 209.115.181.102. 10.0.0.149. 123-32768, енп65535с0ф31. 6. 216.197.228.230. 10.0.0.149. 123-32768, енп65535с0ф31. 6. 64.59.144.17. 10.0.0.149. 53-32768, енп65535с0ф31. 6. 64.59.150.133. 10.0.0.149. 53-32768 } прихватити
- Решен проблем са генерисањем бајткода за интервале спајања који користе типове са различитим редоследом бајтова, као што су ИПв4 (мрежни редослед бајтова) и мета ознака (системски редослед бајтова). табле ип к { мап в { типеоф ип саддр . мета ознака : заставице пресуде елементи бројача интервала = { 127.0.0.1-127.0.0.4 . 0к123434-0кб00122 : прихвати, 192.168.0.10-192.168.1.20 . 0к0000аа00-0к0000аафф : прихвати, } } ланац к { тип филтер закачива филтер приоритета уноса; пад политике; ип саддр. мета ознака вмап @в } }
- Побољшано поређење ретких протокола када се користе необрађени изрази, на пример: мета л4прото 91 @тх,400,16 0к0 аццепт
- Проблеми са омогућавањем правила са интервалима су решени: убаци правило к и тцп спорт { 3478-3497, 16384-16387 } цоунтер аццепт
- ЈСОН АПИ је побољшан да укључи подршку за изразе у листама скупова и мапа.
- Проширења за нфтаблес питхон библиотеку омогућавају учитавање скупова правила за обраду у режиму валидације ("-ц") и додају подршку за спољну дефиницију променљивих.
- Додавање коментара је дозвољено у елементима сет листе.
- Ограничење брзине бајтова омогућава навођење нулте вредности.
Извор: опеннет.ру