புரோஹோஸ்டர் > Блог > இணைய செய்தி > nftables பாக்கெட் வடிகட்டி வெளியீடு 0.9.5

nftables பாக்கெட் வடிகட்டி வெளியீடு 0.9.5

வெளியிடப்பட்டது பாக்கெட் வடிகட்டி வெளியீடு nftables 0.9.5, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.5 изменения включены в состав ядра லினக்ஸ் 5.7.

கர்னல் நிலை ஒரு பொதுவான நெறிமுறை-சுயாதீன இடைமுகத்தை மட்டுமே வழங்குகிறது, இது பாக்கெட்டுகளிலிருந்து தரவைப் பிரித்தெடுப்பதற்கும், தரவு செயல்பாடுகளைச் செய்வதற்கும் மற்றும் ஓட்டக் கட்டுப்பாடுக்கும் அடிப்படை செயல்பாடுகளை வழங்குகிறது. வடிகட்டுதல் விதிகள் மற்றும் நெறிமுறை-குறிப்பிட்ட ஹேண்ட்லர்கள் பயனர் இடத்தில் பைட்கோடாக தொகுக்கப்படுகின்றன, அதன் பிறகு இந்த பைட்கோடு Netlink இடைமுகத்தைப் பயன்படுத்தி கர்னலில் ஏற்றப்பட்டு, BPF (Berkeley Packet Filters) ஐ நினைவூட்டும் ஒரு சிறப்பு மெய்நிகர் இயந்திரத்தில் கர்னலில் செயல்படுத்தப்படுகிறது. இந்த அணுகுமுறையானது கர்னல் மட்டத்தில் இயங்கும் வடிகட்டுதல் குறியீட்டின் அளவைக் கணிசமாகக் குறைக்கவும், நெறிமுறைகளுடன் பணிபுரியும் நெறிமுறைகளைப் பாகுபடுத்தும் அனைத்து செயல்பாடுகளையும் பயனர் இடத்திற்கு நகர்த்தவும் உங்களை அனுமதிக்கிறது.

முக்கிய கண்டுபிடிப்புகள்:

  • В наборы добавлена поддержка счётчиков пакетов и трафика, привязанных к элементам набора. Счётчики включаются при помощи ключевого слова «counter»:

    அட்டவணை ip x {
    y { அமை
    ஐபி சாடிர் வகை
    எதிர்
    உறுப்புகள் = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
    }

    சங்கிலி z {
    type filter hook output priority filter; policy accept;
    ip daddr @y
    }
    }

  • Для установки начальных значений счётчиков, например, для восстановления прошлых счётчиков после перезапуска, набора можно использовать команду «nft -f»:

    # cat ruleset.nft
    அட்டவணை ip x {
    y { அமை
    ஐபி சாடிர் வகை
    எதிர்
    elements = { 192.168.10.35 counter packets 1 bytes 84, 192.168.10.101 \
    counter p 192.168.10.135 counter packets 0 bytes 0 }
    }

    சங்கிலி z {
    type filter hook output priority filter; policy accept;
    ip daddr @y
    }
    }
    # nft -f ruleset.nft
    # nft list ruleset
    அட்டவணை ip x {
    y { அமை
    ஐபி சாடிர் வகை
    எதிர்
    elements = { 192.168.10.35 counter packets 1 bytes 84, 192.168.10.101 \
    counter p 192.168.10.135 counter packets 0 bytes 0 }
    }

    சங்கிலி z {
    type filter hook output priority filter; policy accept;
    ip daddr @y
    }
    }

  • Поддержка счётчиков также добавлена во flowtable:

    அட்டவணை ip foo {
    flowtable bar {
    hook ingress priority -100
    devices = { eth0, eth1 }
    எதிர்
    }

    சங்கிலி முன்னோக்கி {
    type filter hook forward priority filter;
    flow add @bar counter
    }
    }

    Посмотреть список счётчиков можно командной «conntrack -L»:

    tcp 6 src=192.168.10.2 dst=10.0.1.2 sport=47278 dport=5201 packets=9 bytes=608 \
    src=10.0.1.2 dst=10.0.1.1 sport=5201 dport=47278 packets=8 bytes=428 [OFFLOAD] mark=0 \
    secctx=null use=2 tcp 6 src=192.168.10.2 dst=10.0.1.2 sport=47280 dport=5201 \
    packets=1005763 bytes=44075714753 src=10.0.1.2 dst=10.0.1.1 sport=5201 dport=47280 \
    packets=967505 bytes=50310268 [OFFLOAD] mark=0 secctx=null use=2

  • В наборах для присоединений (concatenation, определённые связки адресов и портов, упрощающие сопоставление) обеспечена возможность использования директивы «typeof», определяющей тип данных элементов для составных частей элементов набора:

    அட்டவணை ip foo {
    ஏற்புப்பட்டியலை அமைக்கவும் {
    typeof ip saddr . tcp dport
    elements = { 192.168.10.35 . 80, 192.168.10.101 . 80 }
    }

    சங்கிலி பட்டை {
    வகை வடிகட்டி ஹூக் முன்னோட்டம் முன்னுரிமை வடிகட்டி; கொள்கை வீழ்ச்சி;
    ip daddr . tcp dport @whitelist accept
    }
    }

  • Директива typeof теперь также применима для присоединений в map-списках:

    அட்டவணை ip foo {
    வரைபடம் addr2mark {
    typeof ip saddr . tcp dport : meta mark
    elements = { 192.168.10.35 . 80 : 0x00000001,
    192.168.10.135 . 80 : 0x00000002 }
    }

    சங்கிலி பட்டை {
    வகை வடிகட்டி ஹூக் முன்னோட்டம் முன்னுரிமை வடிகட்டி; கொள்கை வீழ்ச்சி;
    meta mark set ip daddr . tcp dport map @addr2mark accept
    }
    }

  • Добавлена поддержка присоединений с диапазонами в анонимных (неименованных) наборах:

    # nft add rule inet filter input ip daddr . tcp dport \
    { 10.0.0.0/8 . 10-23, 192.168.1.1-192.168.3.8 . 80-443 } accept

  • Предоставлена возможность отбрасывания пакетов с флагами 802.1q (VLAN) при обработке сетевых мостов:

    # nft add rule bridge foo bar ether type vlan reject with tcp reset

  • Добавлена поддержка сопоставления по идентификатору TCP-сеанса (conntrack ID). Для определения conntrack ID можно использовать опцию «—output id»:

    # conntrack -L —output id
    udp 17 18 src=192.168.2.118 dst=192.168.2.1 sport=36424 dport=53 packets=2 \
    bytes=122 src=192.168.2.1 dst=192.168.2.118 sport=53 dport=36424 packets=2 bytes=320 \
    [ASSURED] mark=0 use=1 id=2779986232

    # nft add rule foo bar ct id 2779986232 counter

ஆதாரம்: opennet.ru

கருத்தைச் சேர்