ProHoster > Blog > warta internét > nftables pakét filter release 1.0.7

nftables pakét filter release 1.0.7

Filter pakét nftables 1.0.7 parantos dirilis. Éta ngahijikeun antarmuka panyaring pakét pikeun IPv4, IPv6, ARP, sareng sasak jaringan (anu ditujukeun pikeun ngagentos iptables, ip6table, arptables, sareng ebtables). Paket nftables ngawengku komponén filter pakét rohangan pangguna, sedengkeun fungsionalitas tingkat kernel disayogikeun ku subsistem nf_tables, anu mangrupikeun bagian tina kernel. Linux Ti saprak rilis 3.13, ngan ukur antarmuka umum anu henteu gumantung kana protokol anu disayogikeun dina tingkat kernel, anu nyayogikeun fungsi dasar pikeun ngekstrak data tina pakét, ngalaksanakeun operasi data, sareng kontrol aliran.

Aturan panyaringan sorangan sareng pawang khusus protokol dikompilasi kana bytecode dina rohangan pangguna, saatos éta bytecode ieu dimuat kana kernel nganggo antarmuka Netlink sareng dieksekusi dina kernel dina cara khusus. mesin virtual, siga BPF (Berkeley Packet Filters). Pamarekan ieu ngamungkinkeun pangurangan anu signifikan dina ukuran kode panyaring anu dijalankeun dina tingkat kernel sareng mindahkeun sadaya parsing aturan sareng logika protokol kana rohangan pangguna.

Parobahan utama:

  • Pikeun sistem anu nganggo kernel Linux 6.2+ nambihan dukungan pikeun cocogkeun protokol vxlan, geneve, gre, sareng gretap, ngamungkinkeun anjeun nganggo éksprési saderhana pikeun mariksa lulugu dina pakét anu dienkapsulasi. Salaku conto, pikeun mariksa alamat IP Dina lulugu pakét anu dipasangkeun tina VxLAN, anjeun ayeuna tiasa nganggo aturan (tanpa kedah nga-de-encapsulate heula lulugu VxLAN sareng ngabeungkeut filter kana antarmuka vxlan0): ... udp dport 4789 vxlan ip protocol udp ... udp dport 4789 vxlan ip saddr 1.2.3.0/24 ... udp dport 4789 vxlan ip saddr . vxlan ip daddr { 1.2.3.4 . 4.3.2.1 }
  • Rojongan pikeun ngahijikeun otomatis sésa-sésa saatos ngahapus sabagéan tina unsur set-list parantos dilaksanakeun, anu ngamungkinkeun anjeun ngahapus unsur atanapi bagian tina rentang tina rentang anu tos aya (saméméhna, rentang ngan ukur tiasa dihapus sadayana). Contona, sanggeus miceun unsur 25 tina daptar set kalawan rentang 24-30 jeung 40-50, daptar bakal tetep 24, 26-30 jeung 40-50. Perbaikan anu diperyogikeun pikeun ngahijikeun otomatis bakal ditawarkeun dina sékrési pangropéa tina cabang stabil tina kernel 5.10+. # nft daptar ruleset table ip x {set y {typeof tcp dport flags interval auto-merge elements = {24-30, 40-50}}}} # nft delete element ip xy {25} # nft list ruleset table ip x {set y {typeof tcp dport bandéra interval otomatis-ngagabung elemen = {24, 26-30, 40-50}}}
  • Ngidinan pamakean kontak sareng rentang nalika memetakan tarjamahan alamat (NAT). tabél ip nat {chain prerouting {tipe nat hook prerouting prioritas dstnat; kawijakan narima; dnat ka ip daddr. peta tcp dport {10.1.1.136. 80: 1.1.2.69. 1024, 10.1.1.10-10.1.1.20. 8888-8889: 1.1.2.69. 2048-2049 } pengkuh } }
  • Nambihan dukungan pikeun éksprési "pamungkas", anu ngamungkinkeun anjeun pikeun milarian iraha terakhir kalina unsur aturan atanapi daptar set dianggo. Fitur ieu parantos dirojong ti saprak inti. Linux 5.14. tabel ip x { set y { typeof ip daddr . tcp dport size 65535 flags dynamic, timeout last timeout 1h } chain z { type filter hook output priority filter; policy accept; update @y { ip daddr . tcp dport } } } # nft list set ip xy tabel ip x { set y { typeof ip daddr . tcp dport size 65535 flags dynamic, timeout last timeout 1h elements = { 172.217.17.14 . 443 terakhir dianggo 1s591ms timeout 1h kadaluwarsa 59m58s409ms, 172.67.69.19 . 443 terakhir dianggo 4s636ms waktos béak 1 jam kadaluwarsa 59m55s364ms, 142.250.201.72 . 443 terakhir dianggo 4s748ms waktos béak 1 jam kadaluwarsa 59m55s252ms, 172.67.70.134 . 443 terakhir dianggo 4s688ms waktos béak 1 jam kadaluwarsa 59m55s312ms, 35.241.9.150 . 443 terakhir dianggo 5s204ms waktos béak 1 jam kadaluwarsa 59m54s796ms, 138.201.122.174 . 443 terakhir dianggo 4s537ms waktos béak 1 jam kadaluwarsa 59m55s463ms, 34.160.144.191 . 443 terakhir dianggo 5s205ms waktos béak 1 jam kadaluwarsa 59m54s795ms, 130.211.23.194 . 443 terakhir dianggo 4s436ms waktos béak 1 jam kadaluwarsa 59m55s564ms } } }
  • Ditambahkeun kamampuan pikeun nangtukeun kuota dina daptar set. Contona, pikeun nangtukeun kuota lalulintas keur unggal alamat IP target, Anjeun bisa nangtukeun: tabel netdev x {set y {typeof ip daddr ukuranana 65535 kuota leuwih 10000 mbytes} ranté y {tipe filter hook egress alat "eth0" prioritas filter; kawijakan narima; ip daddr @y serelek}} # nft nambahkeun unsur inet xy {8.8.8.8} # ping -c 2 8.8.8.8 # nft daptar ruleset tabel netdev x {set y {tipe ipv4_addr ukuranana 65535 kuota leuwih 10000 mbytes elemen = {8.8.8.8. 10000 kuota leuwih 196 mbytes dipaké 0 bait}} ranté y {tipe filter hook egress alat "ethXNUMX" prioritas filter; kawijakan narima; ip daddr @y leupaskeun } }
  • Pamakéan konstanta dina daptar set diwenangkeun. Contona, nalika ngagunakeun alamat tujuan jeung ID VLAN salaku konci daptar, Anjeun bisa langsung nangtukeun jumlah VLAN (daddr. 123): tabel netdev t {set s {typeof éter saddr. vlan id ukuran 2048 umbul dinamis, seep timeout 1m } ranté c {tipe filter hook ingress alat eth0 prioritas 0; kawijakan narima; tipe éter!= 8021q update @s {éter daddr. 123 } counter } }
  • Paréntah "destroy" anyar parantos ditambahkeun pikeun ngahapus objék tanpa syarat (teu sapertos paréntah delete, éta henteu ngahasilkeun ENOENT nalika nyobian ngahapus objék anu leungit). Sahenteuna meryogikeun kernel. Linux 6.3-rc. ngancurkeun filter ip tabel

sumber: opennet.ru

Mésér hosting anu dipercaya pikeun situs anu gaduh panyalindungan DDoS, server VPS VDS 🔥 Meser hosting situs wéb anu tiasa dipercaya nganggo panyalindungan DDoS, server VPS VDS | ProHoster