The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск пакетного фильтра nftables 1.0.5

10.08.2022 13:58

Опубликован выпуск пакетного фильтра nftables 1.0.5, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Одновременно опубликован выпуск сопутствующей библиотеки libnftnl 1.2.3, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables.

В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.

Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные изменения:

  • В оптимизаторе правил, вызываемом при указании опции "-o/--optimize", решены проблемы с объединения правил, map- и set-списков. 
    
     # cat ruleset.nft
     table ip x {
            chain y {
                    type nat hook postrouting priority srcnat; policy drop;
                    ip saddr 1.1.1.1 tcp dport 8000 snat to 4.4.4.4:80
                    ip saddr 2.2.2.2 tcp dport 8001 snat to 5.5.5.5:90
            }
     }

     # nft -o -c -f ruleset.nft
     Merging:
     ruleset.nft:4:3-52:                ip saddr 1.1.1.1 tcp dport 8000 snat to 4.4.4.4:80
     ruleset.nft:5:3-52:                ip saddr 2.2.2.2 tcp dport 8001 snat to 5.5.5.5:90
     into:
            snat to ip saddr . tcp dport map { 1.1.1.1 . 8000 : 4.4.4.4 . 80, 2.2.2.2 . 8001 : 5.5.5.5 . 90 }
  • При объединении ethernet и vlan элементов обеспечено определение динамического set-списка, заполняемого на основе параметров пути пакета. 
    
     add table netdev x
     add chain netdev x y { type filter hook ingress device enp0s25 priority 0; 
}
     add set netdev x macset { typeof ether daddr . vlan id; flags 
dynamic,timeout; }
     add rule netdev x y update @macset { ether daddr . vlan id timeout 60s }

 
     add rule netdev x y ether saddr . vlan id { 0a:0b:0c:0d:0e:0f . 42, 
0a:0b:0c:0d:0e:0f . 4095 } counter accept
  • Налажен показ правил с map-списками, содержащими маски в именах интерфейсов. 
    
     table inet filter {
        chain INPUT {
            iifname vmap {
                "eth0" : jump input_lan,
                "wg*" : jump input_vpn
            }
        }
        chain input_lan {}
        chain input_vpn {}
     }
  • Устранены регрессивные изменения, приводящие к неверному лексическому разбору корректных правил.
  • Решены проблемы с медленной обработкой и автоматическим слиянием больших списков с элементами, определяющими интервалы значений.
  • Устранено аварийное завершение при добавлении элементов в некорректный set-список.


  1. Главная ссылка к новости (https://www.mail-archive.com/n...)
  2. OpenNews: Локальная уязвимость в nftables, позволяющая повысить свои привилегии
  3. OpenNews: Ещё одна уязвимость в подсистеме ядра Linux Netfilter
  4. OpenNews: Выпуск пакетного фильтра nftables 1.0.3
  5. OpenNews: Выпуск пакетного фильтра iptables 1.8.8
  6. OpenNews: Выпуск межсетевого экрана firewalld 1.2
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57619-nftables
Ключевые слова: nftables, netfilter
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.8, Братишка (??), 15:07, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Как я nftablesом из шелла фильтровать буду?
     
     
  • 2.11, Аноним (11), 15:16, 10/08/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    С помощью команды nft ......
     

  • 1.18, Аноним (18), 15:53, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +6 +/
    Оптимизируем до того что правило совсем становится не читаемо.
     
     
  • 2.19, Аноним (19), 16:29, 10/08/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    И да - никакой документации!
    Никогда
     
     
  • 3.31, Тот_Самый_Анонимус (?), 17:44, 15/08/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    К чему нытьё? Это же и есть линаксвей.
     

  • 1.20, Аноним (20), 17:10, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    А что это у них синтаксис чувствителен к стилю расстановки скобочек. Вот так, например, не воспринимает правила:
    table ip x
    {
                chain y
                {
                        type nat hook postrouting priority srcnat; policy drop;
                        ip saddr 1.1.1.1 tcp dport 8000 snat to 4.4.4.4:80
                        ip saddr 2.2.2.2 tcp dport 8001 snat to 5.5.5.5:90
                }
    }

    Получается, что ситуация хуже, чем оформление блоков пробельчиками.

     
     
  • 2.24, Google (?), 18:29, 10/08/2022 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Начнем с того что так и в обычных языках нормальные люди не делают. Зачем тратить строку для открывающейся скобки? Это просто отвратительно.
     
     
  • 3.26, Аноним (26), 20:17, 10/08/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ты слишком толстый
     
  • 3.27, Аноним (27), 00:00, 11/08/2022 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Тебе смволов перевода строки жалко? Мне - нет. Зато взамен получаю чёткое видение соответствия открывающей и закрывающей скобки.
     
  • 3.29, Аноним (-), 03:41, 11/08/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > Начнем с того что так и в обычных языках нормальные люди не делают.

    Вообще-то удобно когда логический блок симметричен и на одном уровне, особенно с подсветкой скобок, сразу знаешь где парную скобку искать. Ускоряет навигацию.

     
  • 2.28, Аноним (-), 03:39, 11/08/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > А что это у них синтаксис чувствителен к стилю расстановки скобочек. Вот
    > так, например, не воспринимает правила:

    Вообще на баг похоже. А пробелами правила фаера структурировать упаси боже, потом там вообще черт ногу сломит.

     
     
  • 3.30, Аноним (-), 14:43, 11/08/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Вот, кстати, такие же грабли я обнаружил в конфиге GRUB2. Там тоже от стиля расстановки скобочек можно потерять целый пункт меню загрузки.
     

  • 1.22, john_erohin (?), 17:25, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    я недавно все-таки начал изучать этот собачий язык.
    атомарное применение правил, все дела.
    вопрос - а у кого-нибудь работает такое:

    chain o_uid_bind {
        type filter hook output priority 0; policy drop;
        meta skuid bind accept
      }
      chain o_uid_ntp {
        type filter hook output priority 0; policy drop;
        meta skuid ntp accept
      }
    ...
      chain out_inet {
        icmp type echo-request limit rate 5/second accept
        ip protocol . th dport vmap {
          tcp . 22 : accept,
          udp . 53 : jump o_uid_bind,
          tcp . 53 : jump o_uid_bind,
          udp . 123 : jump o_uid_ntp
        }
      }
    ...
      chain out_lan {
        icmp type echo-request limit rate 5/second accept
        ip protocol . th dport vmap {
          tcp . 22 : accept,
          udp . 53 : jump o_uid_bind,
          tcp . 53 : jump o_uid_bind,
          udp . 67 : accept,
          udp . 123 : jump o_uid_ntp,
        }
    ...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру