🥇nftables פּאַקאַט פילטער 0.9.1 באפרייט

נאָך אַ יאָר פון אַנטוויקלונג דערלאנגט פּאַקאַט פילטער מעלדונג נפטאַבלעס 0.9.1, דעוועלאָפּינג ווי אַ פאַרבייַט פֿאַר יפּטאַבלעס, יפּ6טאַבלע, אַרפּטאַבלעס און עבטאַבלעס דורך יונאַפייינג פּאַקאַט פֿילטרירונג ינטערפייסיז פֿאַר IPv4, IPv6, ARP און נעץ בריקן. די nftables פּעקל כולל פּאַקאַט פילטער קאַמפּאָונאַנץ וואָס לויפן אין באַניצער פּלאַץ, בשעת די קערן-מדרגה אַרבעט איז צוגעשטעלט דורך די nf_tables סאַבסיסטאַם, וואָס איז געווען טייל פון די לינוקס קערן זינט מעלדונג 3.13.

דער קערן מדרגה גיט בלויז אַ דזשאַנעריק פּראָטאָקאָל-פרייַ צובינד וואָס גיט יקערדיק פאַנגקשאַנז פֿאַר יקסטראַקטינג דאַטן פון פּאַקיץ, פּערפאָרמינג דאַטן אַפּעריישאַנז און לויפן קאָנטראָל.
די פֿילטרירונג לאָגיק זיך און פּראָטאָקאָל-ספּעציפיש האַנדלערס זענען קאַמפּיילד אין ביטעקאָדע אין באַניצער פּלאַץ, נאָך וואָס דעם בייטעקאָד איז לאָודיד אין די קערן ניצן די נעטלינק צובינד און עקסאַקיוטאַד אין אַ ספּעציעל ווירטואַל מאַשין רעמאַניסאַנט פון BPF (Berkeley Packet Filters). דער צוגאַנג אַלאַוז איר צו באטייטיק רעדוצירן די גרייס פון די פֿילטרירונג קאָד פליסנדיק אויף די קערן מדרגה און מאַך אַלע די פאַנגקשאַנז פון פּאַרסינג כּללים און לאָגיק פֿאַר ארבעטן מיט פּראָטאָקאָלס אין באַניצער פּלאַץ.

הויפּט חידושים:

IPsec שטיצן, אַלאַוינג מאַטטשינג פון טונעל אַדרעסעס באזירט אויף פּאַקאַט, IPsec בעטן שייַן און SPI (סעקוריטי פּאַראַמעטער אינדעקס) קוויטל. למשל,
... ipsec אין IP saddr 192.168.1.0/24
... ipsec אין ספּי 1-65536

עס איז אויך מעגלעך צו קאָנטראָלירן צי אַ מאַרשרוט פּאַסיז דורך אַן IPsec טונעל. פֿאַר בייַשפּיל, צו פאַרשפּאַרן פאַרקער נישט דורך IPSec:

… פילטער רעזולטאַט רט יפּסעק פעלנדיק קאַפּ
שטיצן פֿאַר IGMP (Internet Group Management Protocol). פֿאַר בייַשפּיל, איר קענען נוצן אַ הערשן צו אַוועקוואַרפן ינקאַמינג IGMP גרופּע מיטגלידערשאַפט ריקוועס
nft add rule netdev foo bar igmp טיפּ מיטגלידערשאַפט-אָנפֿרעג טאָמבאַנק קאַפּ
מעגלעכקייט פון ניצן וועריאַבאַלז צו דעפינירן יבערגאַנג קייטן (שפּרינגען / גאָטאָ). למשל:
דעפינירן דעסט = בער
לייגן הערשן יפּ פאָאָ באַר שפּרינגען $ דעסט
שטיצן פֿאַר מאַסקס צו ידענטיפיצירן אָפּערייטינג סיסטעמען (OS פינגערפּרינט) באזירט אויף TTL וואַלועס אין די כעדער. פֿאַר בייַשפּיל, צו צייכן פּאַקיץ באזירט אויף די סענדער אַס, איר קענען נוצן די באַפֿעל:
... meta mark set osf ttl האָפּקען נאָמען מאַפּע {"לינוקס": 0x1,
"ווינדאָוז": 0x2,
"מאַקאָס": 0x3,
"אומבאַקאַנט": 0x0}
... osf ttl האָפּקען ווערסיע "לינוקס:4.20"
פיייקייט צו גלייַכן די ARP אַדרעס פון די סענדער און די IPv4 אַדרעס פון די ציל סיסטעם. פֿאַר בייַשפּיל, צו פאַרגרעסערן די טאָמבאַנק פון ARP פּאַקיץ געשיקט פֿון די אַדרעס 192.168.2.1, איר קענען נוצן די פאלגענדע הערשן:
טיש אַרפּ רענטגענ {
קייט י {
טיפּ פילטער קרוק אַרייַנשרייַב בילכערקייַט פילטער; פּאָליטיק אָננעמען;
arp saddr ip 192.168.2.1 טאָמבאַנק פּאַקיץ 1 ביטעס 46
}
}
שטיצן פֿאַר טראַנספּעראַנט פאָרווערדינג ריקוועס דורך אַ פּראַקסי (טפּראָקסי). פֿאַר בייַשפּיל, צו רידערעקט קאַללס צו פּאָרט 80 צו פראקסי פּאָרט 8080:
טיש יפּ רענטגענ {
קייט י {
טיפּ פילטער פאַרטשעפּען פּריראָוטינג בילכערקייַט -150; פּאָליטיק אָננעמען;
tcp dport 80 tproxy צו: 8080
}
}
שטיצן פֿאַר מאַרקינג סאַקאַץ מיט די פיייקייט צו באַקומען די באַשטעטיקט צייכן דורך setsockopt () אין SO_MARK מאָדע. למשל:
טאַבלע ינעט רענטגענ {
קייט י {
טיפּ פילטער פאַרטשעפּען פּריראָוטינג בילכערקייַט -150; פּאָליטיק אָננעמען;
tcp dport 8080 מארק שטעלן כאָלעל מארק
}
}
שטיצן פֿאַר ספּעציפיצירן בילכערקייַט טעקסט נעמען פֿאַר קייטן. למשל:
nft לייגן קייט יפּ רענטגענ רוי {טיפּ פילטער פאַרטשעפּען פּריראָוטינג בילכערקייַט רוי; }
nft לייגן קייט יפּ רענטגענ פילטער {טיפּ פילטער פאַרטשעפּען פּריראָוטינג בילכערקייַט פילטער; }
nft לייגן קייט יפּ רענטגענ פילטער_לייטער {טיפּ פילטער פאַרטשעפּען פּריראָוטינג בילכערקייַט פילטער + 10; }
שטיצן פֿאַר סעלינוקס טאַגס (סעקמאַרק). פֿאַר בייַשפּיל, צו דעפינירן די "sshtag" קוויטל אין אַ SELinux קאָנטעקסט, איר קענען לויפן:
nft add secmark inet filter sshtag "system_u:object_r:ssh_server_packet_t:s0"

און דעמאָלט נוצן דעם פירמע אין די כּללים:

nft add rule inet filter input tcp dport 22 meta secmark set "sshtag"

nft לייגן מאַפּע ינעט פילטער סעקמאַפּינג {טיפּ inet_service: secmark; }
nft add element inet filter secmapping {22: "sshtag"}
nft לייגן הערשן ינעט פילטער אַרייַנשרייַב מעטאַ סעקמאַרק שטעלן tcp dport map @secmapping
פיייקייט צו ספּעציפיצירן פּאָרץ אַסיינד צו פּראָטאָקאָלס אין טעקסט פאָרעם, ווי זיי זענען דיפיינד אין די /etc/services טעקע. למשל:
nft add rule xy tcp dport "ssh"
nft רשימה כּלליםסעט -ל
טיש רענטגענ {
קייט י {
...
tcp dport "ssh"
}
}
פיייקייט צו קאָנטראָלירן דעם טיפּ פון נעץ צובינד. למשל:
לייגן הערשן ינעט רוי פּרעראָוטינג מעטאַ ייפקינד "וורף" אָננעמען
ימפּרוווד שטיצן פֿאַר דינאַמיש אַפּדייטינג די אינהאַלט פון שטעלט דורך בפירוש ספּעציפיצירן די "דינאַמיש" פאָן. פֿאַר בייַשפּיל, צו דערהייַנטיקן שטעלן "s" צו לייגן די מקור אַדרעס און באַשטעטיק די פּאָזיציע אויב עס זענען קיין פּאַקיץ פֿאַר 30 סעקונדעס:
לייגן טיש רענטגענ
לייג שטעלן קסס {טיפּ יפּוו4_אַדדר; גרייס 128; טיימאַוט 30 ס; פלאַגס דינאַמיש; }
לייגן קייט קסי {טיפּ פילטער קרוק אַרייַנשרייַב בילכערקייַט 0; }
לייג הערשן xy דערהייַנטיקן @s {ip saddr}
פיייקייט צו שטעלן אַ באַזונדער טיימאַוט צושטאַנד. פֿאַר בייַשפּיל, צו אָווועררייד די פעליקייַט טיימאַוט פֿאַר פּאַקיץ ערייווינג אויף פּאָרט 8888, איר קענען ספּעציפיצירן:
טיש יפּ פילטער {
ct timeout aggressive-tcp {
פּראָטאָקאָל tcp;
l3proto ip;
פּאָליטיק = {געגרינדעט: 100, נאָענט_וואַיט: 4, נאָענט: 4}
}
קייט רעזולטאַט {
...
tcp dport 8888 ct טיימאַוט שטעלן "אַגרעסיוו-טקפּ"
}
}
NAT שטיצן פֿאַר ינעט משפּחה:
טיש אינעט נאט {
...
יפּ6 דאַדדר דעד::2::1 דנאַט צו טויט:2::99
}
ימפּרוווד טיפּאָ טעות ריפּאָרטינג:
nft לייגן קייט פילטער פּרובירן

טעות: ניט אַזאַ טעקע אָדער וועגווייַזער; האט איר מיינען טיש "פילטער" אין משפּחה יפּ?
לייגן קייט פילטער פּרובירן
^^^^^^^
פיייקייט צו ספּעציפיצירן צובינד נעמען אין שטעלט:
שטעלן סק {
טיפּ inet_service. ifname
עלעמענטן = { "שש" . "עטה0" }
}
דערהייַנטיקט פלאָוטאַבלע כּללים סינטאַקס:
nft לייגן טיש רענטגענ
nft add flowtable x ft { פאַרטשעפּען ינגרעסס בילכערקייַט 0; דעוויסעס = {עטה0, וולאַן0}; }
...
nft add rule x forward ip protocol {tcp, udp} flow add @ft
ימפּרוווד JSON שטיצן.

מקור: opennet.ru

נפטאַבלעס פּאַקאַט פילטער 0.9.1 מעלדונג

לייגן אַ באַמערקונג באָטל מאַכן ענטפער