The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

20.03.2009 15:57  Разработчики Netfilter представили замену iptables

Вниманию общественности представлен первый публичный выпуск проекта nftables, новой реализации пакетного фильтра для Linux, идущего на смену iptables, как в свое время iptables пришел на смену ipchains, а ipchains заменил собой ipfwadm. Главным отличием nftables, является не только изменившийся синтаксис задания правил, но и совершенно новый подход в их трансляции: определенные пользователем правила теперь преобразуются в специальный упрощенный псевдокод, который используется для принятия решения по дальнейшим действиям с пакетом через специальный интерфейс внутри ядра.

Nftables состоит из трех частей: кода фильтрации, работающего внутри ядра, связующей интерфейсной библиотеки libnl, работающей с ядром через netlink, и фронтэнда, работающего на уровне пользователя. Для формирования правил фильтрации в nftables представлена утилита nft , которая проверяет корректность правил и транслирует их в псевдокод. Правила теперь могут добавляться не только инкрементально, но и загружаться целиком из файла на диске, как это сделано, например, в пакетном фильтре PF.

Код фильтра, работающий на уровне ядра избавлен от блокировок и значительно сокращен, все операции по определению условий и связанных с ними действий выполняются на уровне пользователя, в ядре производится только базовый набор операций, таких как чтение данных из пакета, сравнение данных и т.п. В пакетный фильтр интегрирована поддержка словарного маппинга и поиска по наборам правил (sets), работа которых реализована через хеши и rb-деревья. При этом элементы наборов могут быть заданы в виде диапазонов значений (можно определять подсети). Фильтр более не зависит от типа протокола, поддерживая IPv4, IPv6 и бриджинг. По умолчанию не производится учет пакетов и байт трафика, подпадающих под правила, их учет нужно включать отдельно.

Новый синтаксис правил в корне не похож на то, что было раньше и больше напоминает сценарий, в котором можно задавать условия, создавать переменные, выполнять математические операции. Язык классификации правил основан на реальной грамматике, при обработке которой используется сгенерированный в bison парсер. Например, типичный набор правил:


   include "ipv4-filter"

   chain filter output {
         ct state established,related accept
         tcp dport 22 accept
         counter drop
   }

По заявлению разработчиков, код nftables еще находится на стадии альфа тестирования и не подходит для использовании в промышленной эксплуатации, тем не менее в процессе регулярного тестирования последний крах ядра из-за сбоя nftables был зафиксирован несколько месяцев назад.

  1. Главная ссылка к новости (http://marc.info/?l=linux-netd...)
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: netfilter, firewall, iptables, linux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, chemtech (?), 17:00, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Ну сейчас начнется: PF против nftables... ))))))))
     
     
  • 2.4, aim (??), 17:20, 20/03/2009 [^] [ответить]    [к модератору]
  • –1 +/
    судя по всему pf опять вырулит по-простоте синтаксиса как минимум
     
     
  • 3.28, junker (?), 22:42, 20/03/2009 [^] [ответить]    [к модератору]
  • +/
    кстати не факт!
    с учётом вот этого: "и фронтэнда, работающего на уровне пользователя"
    фронтэнд можно приделать какой угодно, наверное даже и с синтаксисом, идентичным PF
     
     
  • 4.52, dry (?), 12:43, 23/03/2009 [^] [ответить]     [к модератору]
  • +/
    не вижу прорыва заменили одну хорошую реализацию на другую надеюсь не менее хо... весь текст скрыт [показать]
     
  • 2.6, abigor (?), 17:31, 20/03/2009 [^] [ответить]     [к модератору]  
  • +/
    Даешь холливар pf vs nftables А вообще, честно, я не понимаю эту разницу в ... весь текст скрыт [показать]
     
     
  • 3.7, Nick (??), 17:34, 20/03/2009 [^] [ответить]    [к модератору]  
  • +/
    >Даешь холливар!
    >....я то еще разведу войну
    >GPLv* vs BSD

    разведи-разведи :)

    особенно о психологическом аспекте договорённости об едином интерфейсе
    универсального фаервола...

     
  • 3.8, Andrew (??), 17:42, 20/03/2009 [^] [ответить]    [к модератору]  
  • +/
    > А вообще, честно, я не понимаю эту разницу в фаерволах, почему не сделать единый фаер для всех систем! чтоб не запоминать кучу спрок синтаксиса для разных ОС ( читать для linux и unix )

    IPFilter

     
  • 3.20, User294 (ok), 20:24, 20/03/2009 [^] [ответить]     [к модератору]  
  • +1 +/
    Можно продолжить идею а почему бы не сделать единую модель авто, похоронив все ... весь текст скрыт [показать]
     
     
  • 4.38, . (?), 04:13, 21/03/2009 [^] [ответить]    [к модератору]  
  • +/
    >чтоб не запоминать кучу спрок синтаксиса для разных ОС
    >
    >Можно продолжить идею: а почему бы не сделать единую модель авто
    >Водителям было бы удобно

    рули, педали и ПДД одинаковые

     
     
  • 5.41, Michael Shigorin (ok), 13:13, 21/03/2009 [^] [ответить]    [к модератору]  
  • +/
    Угу --- левые и правые, две и три, теоретические и практические... а так да, конечно.
     
  • 5.43, User294 (??), 13:51, 21/03/2009 [^] [ответить]    [к модератору]  
  • +/
    Да, конечно, в какойнить тойоте руль ну совсем как у копейки, никто и не сомневался :).И чего никто на копейке ездить не хочет?Все почему-то иномарки предпочитают купить.Вот прям копия :)
     
  • 1.2, User294 (ok), 17:18, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >    include "ipv4-filter"

    А я думал - stdio.h =)

     
  • 1.3, User294 (ok), 17:19, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > создавать переменные, выполнять математические операции

    А тормозить все это не будет?

     
     
  • 2.11, Sem (??), 17:53, 20/03/2009 [^] [ответить]     [к модератору]  
  • +/
    Я думаю, что все операции будут происходить в момент загрузки правил С чего ему... весь текст скрыт [показать]
     
     
  • 3.22, User294 (ok), 20:33, 20/03/2009 [^] [ответить]     [к модератору]  
  • +/
    Если так - было б гут А то есть области где каждый лишний такт проца-как нож в с... весь текст скрыт [показать]
     
     
  • 4.25, Knuckles (ok), 21:23, 20/03/2009 [^] [ответить]    [к модератору]  
  • +/
    Так написано же, что будет парситься и перемалываться в псевдокод. Я так понимаю, что синтаксис правил удобен для пользователя, а псевдокод удобен (в плане скорости в т.ч.) для фильтра.
     
  • 1.9, Аноним (-), 17:44, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Напоминиет миграцию от комбайнеров к шейдерам в OpenGL.
     
  • 1.10, Аноним (-), 17:48, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересно, синтаксис iptables ужасен, новый nftables мне нравится, хотя лучше pf-а ещё нечего не видел, для конечно.
     
     
  • 2.49, Аноним (-), 19:49, 21/03/2009 [^] [ответить]     [к модератору]  
  • +/
    Наоборот, синтаксис iptables устраивает полностью А пример из текста новости со... весь текст скрыт [показать]
     
     
  • 3.54, Осторожный (ok), 07:28, 24/03/2009 [^] [ответить]     [к модератору]  
  • +/
    Давай более простой вопрос Ты вообще видел и использовал pf Если нет, тогда с... весь текст скрыт [показать]
     
  • 1.12, Аноним (-), 18:01, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну хоть не XML
     
     
  • 2.40, СуперАноним (?), 12:16, 21/03/2009 [^] [ответить]    [к модератору]  
  • +/
    А почему бы и не на XML правила записывать? Транслятор соответствующий мог бы их в тот же самый байт-код перегонять.
     
  • 1.14, Аноним (-), 18:14, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    покороче нельзя было название придумать?
     
  • 1.17, spamtrap (??), 18:58, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >определенные пользователем правила теперь преобразуются в специальный упрощенный псевдокод, который используется для принятия решения

    слабаки! нада было сразу в машинный код транслировать. а так придётся потом этот псевдокод интерпретировать, и получится, что файлвол - интерпретатор собственного байт-кода в режиме ядра

     
     
  • 2.27, User294 (ok), 22:22, 20/03/2009 [^] [ответить]    [к модератору]  
  • +/
    >слабаки! нада было сразу в машинный код транслировать.

    А что с портабельностью делать?Генерилка кода для всех поддерживаемых платформ - монстрик типа gcc всунутый в ядро? :)

     
     
  • 3.44, Аноним (-), 16:16, 21/03/2009 [^] [ответить]    [к модератору]  
  • +/
    Здесь может помочь llvm
     
  • 1.19, o.k. (?), 19:59, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    главное, чтоб списки адресов наконец реализовали ..
     
     
  • 2.21, Аноним (-), 20:30, 20/03/2009 [^] [ответить]    [к модератору]  
  • +/
    ip daddr { 192.168.0.0/24 => drop, 192.168.0.100 => accept}
     
     
  • 3.23, bill (??), 20:43, 20/03/2009 [^] [ответить]    [к модератору]  
  • +/
    >ip daddr { 192.168.0.0/24 => drop, 192.168.0.100 => accept}

    Эт не то, если я правильно понял. В ipfw есть таблицы, очень удобная фича.

     
     
  • 4.35, o.k. (?), 01:20, 21/03/2009 [^] [ответить]    [к модератору]  
  • +/
    угу .. именно, только в ipfw ими я не пользовался, а вот в pf юзал постоянно
    table <users> { 192.168.2.8, 192.168.1.5, 192.168.3.0/24 }
    pass in from <users> to any
     
  • 2.37, sky (??), 01:49, 21/03/2009 [^] [ответить]    [к модератору]  
  • +/
    >главное, чтоб списки адресов наконец реализовали ..

    Реализация давно есть, но ее не включили в ядро. http://ipset.netfilter.org/

     
  • 1.24, geekkoo (ok), 20:45, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Когда ж они наконец успокоятся? Сначала был ipfwadm, потом ipchains, затем долгое время iptables, который даже при переезде на 2.6.0 не сломали. Но покой нам только снится ... Это было обманчивое затишье.
     
     
  • 2.42, Michael Shigorin (ok), 13:16, 21/03/2009 [^] [ответить]     [к модератору]  
  • +/
    iptables оказался весьма good enough, чтоб мотивация по замене копилась небыстро... весь текст скрыт [показать]
     
  • 1.26, СуперАноним (?), 21:31, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Так и Layer7 фильтрацию наконец бы в него ванильно включили
    http://l7-filter.sourceforge.net/
     
  • 1.29, zed (??), 22:51, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    а разве pf не кроссплатформенный? он вроде везде работает
     
     
  • 2.36, o.k. (?), 01:22, 21/03/2009 [^] [ответить]    [к модератору]  
  • +/
    в BSD только... в linux к сожалению нет.
     
     
  • 3.55, Осторожный (ok), 07:30, 24/03/2009 [^] [ответить]    [к модератору]  
  • +/
    >в BSD только... в linux к сожалению нет.

    Вроде как есть порт pf в Windows

     
  • 1.31, Touch (ok), 23:30, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    PF PF ..  Layer 2 он умеет ?.. нет .. прохождение всего списка правил снова после попадания в altq например ?.. нет .. равномерное распределение пропускной способности по типу pipe с weight ?.. нет .. вобщем ipfw+dummynet .. хоть закидайте меня помидорами по самую макушку :)
     
     
  • 2.32, Touch (ok), 23:32, 20/03/2009 [^] [ответить]    [к модератору]  
  • +/
    да, забыл про forward и divert совместно с несколькими одновременно работающими natd .. :)
     
  • 2.34, iZEN (ok), 00:33, 21/03/2009 [^] [ответить]    [к модератору]  
  • +/
    >PF PF ..  Layer 2 он умеет ?.. нет .. прохождение
    >всего списка правил снова после попадания в altq например ?.. нет
    >.. равномерное распределение пропускной способности по типу pipe с weight ?..
    >нет .. вобщем ipfw+dummynet .. хоть закидайте меня помидорами по самую
    >макушку :)

    Видимо, давно man 5 pf.conf не смотрел. :)
    На, почитай: http://www.freebsd.org/cgi/man.cgi?query=pf.conf&sektion=5

     
     
  • 3.47, Touch (ok), 19:12, 21/03/2009 [^] [ответить]    [к модератору]  
  • +/
    $ man 5 pf.conf | col -b | grep -i mac | grep -vi macro | grep -vi machin
    $

    $ man 5 pf.conf | col -b | grep -i layer
         their layer 3 (see ip(4) and ip6(4)) and layer 4 (see icmp(4), icmp6(4),
         Due to a lock order reversal (LOR) with the socket layer, the use of the
    $

    "Оказывается, что pf+altq нельзя настроить так, что бы умел поделить поровну трафик на каждого подключенного юзера. Один товарищ попытался извратнуться ( http://developer.co.ua/posts/view/shljuz_s_avtorizatsiej_i_dinamicheskim_rasp ). Смелый и инженерный такой подход у него. А ведь хочется что бы кнопочку, ну максимум две, нажать - и шо б все заработало как надо. Ан нет. "
    Взято отсюда: http://nexus.org.ua/weblog/message/878/

    Ещё поспорим ?.. :)

     
     
  • 4.48, Touch (ok), 19:18, 21/03/2009 [^] [ответить]    [к модератору]  
  • +/
    кстати по ссылке человек выбрал pf потому что видно не прочёл man natd, который поверьте более объёмен чем секция "Translation" в man pf.conf.
     
     
  • 5.51, o.k. (?), 10:25, 22/03/2009 [^] [ответить]    [к модератору]  
  • +/
    >кстати по ссылке человек выбрал pf потому что видно не прочёл man
    >natd, который поверьте более объёмен чем секция "Translation" в man pf.conf.
    >

    ну не смешите =)
    и binat там несомненно есть ))))

     
  • 1.33, nuclight (ok), 23:47, 20/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Для формирования правил фильтрации в nftables представлена утилита nft , которая проверяет
    >корректность правил и транслирует их в псевдокод.

    Байт-код? То есть в линуксе наконец-то изобрели ipfw2 ? Поздравляю!

     
  • 1.39, chodorenko (?), 11:47, 21/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вообще както странно, неужели нельзя отделить написание правил от конкретного типа фаервола ? ну не пофигу ли вам во что преобразуется iptables -s $localnet -j Accept ? главное чтобы транслятор мог правильно преобразовать и скорость работы была нормальной. A вообщето опять начинается изобретение велосипеда как и с буфером обмена
     
  • 1.50, Аноним (-), 05:00, 22/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну из плюсов очевидно подедржка обоих протоколов v4/v6 и бриджинг ну и соответственно наборы (sets), когда можно одним правилом решить то на что раньше нужно было городить тучу.
     
  • 1.53, Осторожный (ok), 17:30, 23/03/2009 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Похоже что разработчики iptables наконец-то прочитали faq по pf и наконец-то увидели, как они были не правы.
    Решили срочно исправиться и все переделать ...
     
  • 1.56, Аноним (56), 15:18, 26/01/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Как же вы любите Херами помериться Я не знаю на чем основан фаервол в микротика... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor