ProHoster > Blog > warta internét > nftables pakét filter release 1.0.6

nftables pakét filter release 1.0.6

Pelepasan packet filter nftables 1.0.6 geus diterbitkeun, ngahijikeun packet filtering interfaces pikeun IPv4, IPv6, ARP jeung sasak jaringan (ditujukeun pikeun ngaganti iptables, ip6table, arptables jeung ebtables). Paket nftables kalebet komponén saringan pakét anu dijalankeun dina rohangan pangguna, sedengkeun padamelan tingkat kernel disayogikeun ku subsistem nf_tables, anu parantos janten bagian tina kernel Linux ti saprak ngaleupaskeun 3.13. Tingkat kernel ngan nyadiakeun antarbeungeut protokol-bebas generik nu nyadiakeun pungsi dasar pikeun extracting data tina pakét, ngajalankeun operasi data, jeung kontrol aliran.

Aturan nyaring jeung panangan husus protokol anu disusun kana bytecode dina spasi pamaké, nu satutasna bytecode ieu dimuat kana kernel ngagunakeun panganteur Netlink sarta dieksekusi dina kernel dina mesin virtual husus reminiscent of BPF (Berkeley Packet Filters). Pendekatan ieu ngamungkinkeun anjeun sacara signifikan ngirangan ukuran kode nyaring anu dijalankeun dina tingkat kernel sareng mindahkeun sadaya fungsi aturan parsing sareng logika pikeun damel sareng protokol kana rohangan pangguna.

Parobahan utama:

  • Aturan optimizer, disebut nalika "-o / - ngaoptimalkeun" pilihan dieusian, boga bungkusan otomatis aturan ku ngagabungkeun aranjeunna sarta ngarobahna kana peta tur nyetel daptar. Contona, aturan # ucing ruleset.nft tabel ip x {ranté y {tipe filter hook input prioritas filter; turunna kawijakan; meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 narima meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.4 narima meta iifname eth1 ip saddr 1.1.1.2 ip meta iifname eth2.2.3.0 ip saddr i/24 .1 ip daddr 1.1.1.2-2.2.4.0 nampa meta iifname eth2.2.4.10 ip saddr 2 ip daddr 1.1.1.3 narima}} sanggeus ngajalankeun "nft -o -c -f ruleset.nft" bakal dirobah jadi kieu: ruleset nft: 2.2.2.5:4-17: meta iifname eth74 ip saddr 1 ip daddr 1.1.1.1 narima ruleset.nft:2.2.2.3:5-17: meta iifname eth74 ip saddr 1 ip daddr 1.1.1.2 narima ruleset. : 2.2.2.4:6-17: meta iifname eth77 ip saddr 1 ip daddr 1.1.1.2/2.2.3.0 narima ruleset.nft:24:7-17: meta iifname eth83 ip saddr 1 ip daddr 1.1.1.2-2.2.4.0. nampi ruleset.nft: 2.2.4.10: 8-17: meta iifname eth74 ip saddr 2 ip daddr 1.1.1.3 nampi kana: iifname . ip sadr. ip dadr {eth2.2.2.5. 1. 1.1.1.1, eth2.2.2.3 . 1. 1.1.1.2, eth2.2.2.4 . 1. 1.1.1.2/2.2.3.0, eth24. 1. 1.1.1.2-2.2.4.0, eth2.2.4.10. 2. 1.1.1.3 } narima
  • Optimasi ogé bisa ngarobah aturan nu geus ngagunakeun daptar set basajan kana formulir leuwih kompak, contona aturan: # ucing ruleset.nft tabel ip filter { ranté input {tipe filter hook input prioritas filter; turunna kawijakan; iifname "lo" nampa ct kaayaan ngadegkeun, patali nampa komentar "Dina lalulintas kami originate, urang percanten" iifname "enp0s31f6" ip saddr {209.115.181.102, 216.197.228.230} ip daddr 10.0.0.149 123 ip daddr 32768 65535. iifname "enp0s31f6" ip saddr { 64.59.144.17, 64.59.150.133 } ip daddr 10.0.0.149 udp olahraga 53 udp dport 32768-65535 narima }} sanggeus executing aturan -sfft. : ruleset.nft: 6: 22-149: iifname "enp0s31f6" ip saddr { 209.115.181.102, 216.197.228.230 } ip daddr 10.0.0.149 udp olahraga 123 udp32768 udp olahraga 65535 udp7 udp22. - 143: iifname "enp0s31f6" ip saddr {64.59.144.17, 64.59.150.133} ip daddr 10.0.0.149 udp olahraga 53 udp dport 32768-65535 narima kana: iifname. ip sadr. ip adul. olahraga udp. udp dport {enp0s31f6. 209.115.181.102. 10.0.0.149. 123. 32768-65535, enp0s31f6. 216.197.228.230. 10.0.0.149. 123. 32768-65535, enp0s31f6. 64.59.144.17. 10.0.0.149. 53. 32768-65535, enp0s31f6. 64.59.150.133. 10.0.0.149. 53. 32768-65535 } narima
  • Ngarengsekeun masalah sareng generasi bytecode pikeun ngahijikeun interval anu nganggo jinis sareng urutan bait anu béda, sapertos IPv4 (urutan bait jaringan) sareng tanda meta (urutan bait sistem). tabél ip x {peta w {jenis ip saddr. meta tanda: vonis umbul interval counter elemen = {127.0.0.1-127.0.0.4. 0x123434-0xb00122: narima, 192.168.0.10-192.168.1.20. 0x0000aa00-0x0000aaff: narima,}} ranté k {tipe filter hook input prioritas filter; turunna kawijakan; ip sadr. meta tanda vmap @w}}
  • Ningkatkeun babandingan protokol langka nalika nganggo ekspresi atah, contona: meta l4proto 91 @th,400,16 0x0 accept
  • Masalah sareng ngaktipkeun aturan dina interval geus direngsekeun: selapkeun aturan xy tcp olahraga {3478-3497, 16384-16387} counter narima
  • The JSON API geus ningkat ngawengku rojongan pikeun éksprési dina daptar set na peta.
  • Ekstensi ka perpustakaan python nftables ngamungkinkeun loading susunan aturan pikeun ngolah dina modeu validasi ("-c") sarta nambahan rojongan pikeun harti éksternal variabel.
  • Nambahkeun koméntar diidinan dina elemen daptar set.
  • Byte ratelimit ngamungkinkeun nangtukeun nilai nol.

sumber: opennet.ru

Tambahkeun komentar