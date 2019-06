После года разработки представлен релиз пакетного фильтра nftables 0.9.1, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя. Основные новшества: Поддержка IPsec, позволяющая выполнять сопоставление адресов туннелей в привязке к пакету, идентификатору запроса IPsec и тегу SPI (Security Parameter Index). Например, ... ipsec in ip saddr 192.168.1.0/24 ... ipsec in spi 1-65536 Также возможна проверка прохождения маршрута через туннель IPsec. Например, для блокирования трафика не через IPSec: ... filter output rt ipsec missing drop

Поддержка протокола IGMP (Internet Group Management Protocol). Например, для отбрасывания входящих IGMP-запросов принадлежности к группе можно использовать правило nft add rule netdev foo bar igmp type membership-query counter drop

Возможность использования переменных для определения цепочек перехода (jump / goto). Например: define dest = ber add rule ip foo bar jump $dest

Поддержка масок для идентификации операционных систем (OS Fingerprint) на основе значений TTL в заголовке. Например, для пометки пакетов в зависимости от ОС отправителя можно использовать команду: ... meta mark set osf ttl skip name map { "Linux" : 0x1, "Windows" : 0x2, "MacOS" : 0x3, "unknown" : 0x0 } ... osf ttl skip version "Linux:4.20"

Возможность сопоставления ARP-адреса отправителя и IPv4-адреса целевой системы. Например, для увеличения счётчика ARP-пакетов, отправленных с адреса 192.168.2.1 можно использовать правило: table arp x { chain y { type filter hook input priority filter; policy accept; arp saddr ip 192.168.2.1 counter packets 1 bytes 46 } }

Поддержка прозрачного проброса запросов через прокси (tproxy). Например, для перенаправления обращений к 80 порту на порт прокси 8080: table ip x { chain y { type filter hook prerouting priority -150; policy accept; tcp dport 80 tproxy to :8080 } }

Поддержка пометки сокетов с возможностью для дальнейшего получения установленной метки через setsockopt() в режиме SO_MARK. Например: table inet x { chain y { type filter hook prerouting priority -150; policy accept; tcp dport 8080 mark set socket mark } }

Поддержка указания текстовых наименований приоритетов для цепочек. Например: nft add chain ip x raw { type filter hook prerouting priority raw; } nft add chain ip x filter { type filter hook prerouting priority filter; } nft add chain ip x filter_later { type filter hook prerouting priority filter + 10; }

Поддержка меток SELinux (Secmark). Например, для определения метки "sshtag" в привязке к контексту SELinux можно запустить: nft add secmark inet filter sshtag "system_u:object_r:ssh_server_packet_t:s0" А затем использовать эту метку в правилах: nft add rule inet filter input tcp dport 22 meta secmark set "sshtag" nft add map inet filter secmapping { type inet_service : secmark; } nft add element inet filter secmapping { 22 : "sshtag" } nft add rule inet filter input meta secmark set tcp dport map @secmapping

Возможность указания закреплённых за протоколами портов в текстовом виде, как они определены в файле /etc/services. Например: nft add rule x y tcp dport "ssh" nft list ruleset -l table x { chain y { ... tcp dport "ssh" } }

Возможность проверки типа сетевого интерфейса. Например: add rule inet raw prerouting meta iifkind "vrf" accept

Улучшена поддержка динамического обновления содержимого наборов (sets) через явное указание флага "dynamic". Например, для обновления набора "s" с добавлением исходного адреса и сбросом записи в случае отсутствия пакетов в течение 30 секунд: add table x add set x s { type ipv4_addr; size 128; timeout 30s; flags dynamic; } add chain x y { type filter hook input priority 0; } add rule x y update @s { ip saddr }

Возможность задания отдельного условия наступления таймаута. Например, для переопределения таймаута по умолчанию для пактов, пришедших на порт 8888 можно указать: table ip filter { ct timeout agressive-tcp { protocol tcp; l3proto ip; policy = {established: 100, close_wait: 4, close: 4} } chain output { ... tcp dport 8888 ct timeout set "agressive-tcp" } }

Поддержка NAT для семейства inet: table inet nat { ... ip6 daddr dead::2::1 dnat to dead:2::99 }

Улучшенные средства вывода информации об ошибках из-за опечаток: nft add chain filtre test Error: No such file or directory; did you mean table "filter" in family ip? add chain filtre test ^^^^^^

Возможность указания имён интерфейсов в наборах (sets): set sc { type inet_service . ifname elements = { "ssh" . "eth0" } }

Обновлён синтаксис правил flowtable: nft add table x nft add flowtable x ft { hook ingress priority 0; devices = { eth0, wlan0 }; } ... nft add rule x forward ip protocol { tcp, udp } flow add @ft

Улучшена поддержка JSON.