Выпуск пакетного фильтра nftables 1.0.7

14.03.2023 11:53

Опубликован выпуск пакетного фильтра nftables 1.0.7, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.

Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные изменения:

Для систем с ядром Linux 6.2+ добавлена поддержка сопоставления протоколов vxlan, geneve, gre и gretap, что позволяет использовать простые выражения для проверки заголовков в инкапсулированных пакетах. Например, для проверки IP-адреса в заголовке вложенного пакета из VxLAN, теперь можно использовать правила (без необходимости предварительной деинкапсуляции заголовка VxLAN и привязки фильтра к интерфейсу vxlan0):
```
      ... udp dport 4789 vxlan ip protocol udp
      ... udp dport 4789 vxlan ip saddr 1.2.3.0/24
      ... udp dport 4789 vxlan ip saddr . vxlan ip daddr { 1.2.3.4 . 4.3.2.1 }
```
Реализована поддержка автоматического слияния остатков после частичного удаления элемента set-списка, что позволяет удалить элемент или часть диапазона из существующего диапазона (раньше диапазон можно было удалить только целиком). Например, после удаления элемента 25 из set-списка с диапазонами 24-30 и 40-50 в списке останутся 24, 26-30 и 40-50. Исправления, необходимые для работы автослияния, будут предложены в корректирующих выпусках стабильных веток ядра 5.10+.
```
      # nft list ruleset
      table ip x {
          set y {
              typeof tcp dport
              flags interval
              auto-merge
              elements = { 24-30, 40-50 }
          }
      }

      # nft delete element ip x y { 25 }

      # nft list ruleset
      table ip x {
          set y {
              typeof tcp dport
              flags interval
              auto-merge
              elements = { 24, 26-30, 40-50 }
          }
      }
```

Разрешено использование контактации и диапазонов при маппинге трансляции адресов (NAT).


  table ip nat {
      chain prerouting {
          type nat hook prerouting priority dstnat; policy accept;
          dnat to ip daddr . tcp dport map { 10.1.1.136 . 80 : 1.1.2.69 . 1024, 
10.1.1.10-10.1.1.20 . 8888-8889 : 1.1.2.69 . 2048-2049 } persistent
     }
  }

Добавлена поддержка выражения "last", позволяющего узнать время последнего использования элемента правила или set-списка. Возможность поддерживается начиная с ядра Linux 5.14.


  table ip x {
      set y {
          typeof ip daddr . tcp dport
          size 65535
          flags dynamic,timeout
          last
          timeout 1h
      }

      chain z {
          type filter hook output priority filter; policy accept;
          update @y { ip daddr . tcp dport }
      }
  }

  # nft list set ip x y
  table ip x {
      set y {
          typeof ip daddr . tcp dport
          size 65535
          flags dynamic,timeout
          last
          timeout 1h
          elements = { 172.217.17.14 . 443 last used 1s591ms timeout 1h expires 59m58s409ms,
                       172.67.69.19 . 443 last used 4s636ms timeout 1h expires 59m55s364ms,
                       142.250.201.72 . 443 last used 4s748ms timeout 1h expires 59m55s252ms,
                       172.67.70.134 . 443 last used 4s688ms timeout 1h expires 59m55s312ms,
                       35.241.9.150 . 443 last used 5s204ms timeout 1h expires 59m54s796ms,
                       138.201.122.174 . 443 last used 4s537ms timeout 1h expires 59m55s463ms,
                       34.160.144.191 . 443 last used 5s205ms timeout 1h expires 59m54s795ms,
                       130.211.23.194 . 443 last used 4s436ms timeout 1h expires 59m55s564ms }
         }
  }

Добавлена возможность определения квот в set-списках. Например, для определения квоты на трафик для каждого целевого IP-адреса, можно указать:


  table netdev x {
      set y {
          typeof ip daddr
          size 65535
          quota over 10000 mbytes
      }

      chain y {
          type filter hook egress device "eth0" priority filter; policy accept;
          ip daddr @y drop
      }
  }

  # nft add element inet x y { 8.8.8.8 }
  # ping -c 2 8.8.8.8
 
  # nft list ruleset
  table netdev x {
      set y {
          type ipv4_addr
          size 65535
          quota over 10000 mbytes
          elements = { 8.8.8.8 quota over 10000 mbytes used 196 bytes }
      }

      chain y {
          type filter hook egress device "eth0" priority filter; policy accept;
          ip daddr @y drop
      }
  }

Разрешено использование констант в set-списках. Например, при использования в качестве ключа списка адреса назначения и идентификатора VLAN можно напрямую указать номер VLAN (daddr . 123):


      table netdev t {
          set s {
              typeof ether saddr . vlan id
              size 2048
              flags dynamic,timeout
              timeout 1m
          }

          chain c {
              type filter hook ingress device eth0 priority 0; policy accept;
              ether type != 8021q update @s { ether daddr . 123 } counter
          }
      }

Добавлена новая команда "destroy" для безоговорочного удаления объектов (в отличие от команды delete не генерирует ENOENT при попытке удаления отсутствующего объекта). Для работы требуется как минимум ядро Linux 6.3-rc.
```
     destroy table ip filter
```

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/58791-nftables

Ключевые слова: nftables, netfilter

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (40)

1.17, Аноним (17), 14:01, 14/03/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Лучший пакетный фильтр. Хотя системы надо проектировать так, чтобы nftables/iptables были опциональными = чтобы система не перестала быть защищенной, если эти фильтры внезапно отключить.

2.20, Аноним (20), 14:06, 14/03/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Лучший? Уже 10 лет у них просят string/hex match, в ответ: используйте iptables.

3.21, Аноним (21), 14:10, 14/03/2023 [^] [^^] [^^^] [ответить]	+/–
нет регулярок? пичалько

4.63, Аноним (63), 01:30, 20/03/2023 [^] [^^] [^^^] [ответить]	+/–
Регулярки - тяжесть.

3.23, Аноним (17), 14:16, 14/03/2023 [^] [^^] [^^^] [ответить]	+/–
фильтровать айпишники по "регуляркам и строкам"? вы там с дуба рухнули? уже есть маски

4.26, Аноним (26), 15:17, 14/03/2023 [^] [^^] [^^^] [ответить]

–1 +/–

Причём тут IP?!

Где я написал хоть слово про IP?!

Мне содержимое пакетов надо анализировать и на основе этого drop.

И нет, я не ISP, мне это для домашней машины надо.

5.27, Аноним (17), 15:30, 14/03/2023 [^] [^^] [^^^] [ответить]	+/–
и что же ты там по сырому потенциально зашифрованному телу пакета собрался фильтровать?

6.36, Аноним (26), 16:14, 14/03/2023 [^] [^^] [^^^] [ответить]

+/–

Аноним, у тебя галлюцинации?

Где ты увидел слово "зашифрованный" трафик?

Сначала ты нёс про IP, теперь про шифрование, дальше что?

7.46, Аноним (46), 20:29, 14/03/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Приведи юзкейс уже для такого.

8.51, _Kuzmich (ok), 08:27, 15/03/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Непонятно почему человека заминусили У меня такой юзкейс в сторону бакэнда дел... текст свёрнут, показать

8.61, saa (?), 18:23, 19/03/2023 [^] [^^] [^^^] [ответить]	+/–
iptables -I INPUT -p tcp --sport 80 -m string --string Location http warning... текст свёрнут, показать

5.32, pfg21 (ok), 15:45, 14/03/2023 [^] [^^] [^^^] [ответить]	+2 +/–
пишешь нфтейблес "пакеты перенаправлять в мою программу" и там онализируешь.

6.35, Аноним (26), 16:13, 14/03/2023 [^] [^^] [^^^] [ответить]	–5 +/–
Песец. А вы мне подарите EPYC на 96 ядер, чтобы гонять трафик из ядра в userspace и обратно для потока в 500Mbit?

7.39, Аноним (39), 16:28, 14/03/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Значит просто, без задней мысли, пишешь нфтейблес "пакеты перенаправлять в мой модуль ядра" и там анализируешь

7.41, Аноним (41), 19:11, 14/03/2023 [^] [^^] [^^^] [ответить]	+/–
50 мбайт/с? 96 ядер ??? Такой поток пишется на жесткий диск 20 летней свежести одним ядром тех же времен

7.47, Аноним (46), 20:30, 14/03/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Чел, чем ты там занимаешься?!

8.49, bergentroll (ok), 23:32, 14/03/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Комменты пишет же... текст свёрнут, показать

7.56, Аноним (56), 12:21, 15/03/2023 [^] [^^] [^^^] [ответить]	+/–
Тебе лучше на чём-то из этого https://www.xilinx.com/products/boards-and-kits/alveo.html фильтровать. Дешевле выйдет, чем 96 ядер.

3.30, Аноним (30), 15:37, 14/03/2023 [^] [^^] [^^^] [ответить]	–1 +/–
>используйте eBPF fixed.

1.25, Аноним (-), 14:35, 14/03/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Изучаю базовые команды линуха. Уже взялся тыкать iptables, но тут узнал, что это легаси и ненужно. А собственно чем nftables лучше? Ну кроме того, что iptables выпиливают из свежих дистров.

2.28, Аноним (28), 15:34, 14/03/2023 [^] [^^] [^^^] [ответить]	+/–
> что iptables выпиливают из свежих дистров А в замен ничего не впиливают?

2.31, pfg21 (ok), 15:44, 14/03/2023 [^] [^^] [^^^] [ответить]	+/–
по теме "чем лучше" написаны кучи статей, но сложных и мудреных. iptables остается до поры до времени, как один из интерфейсов управления, его правила компилируются в "nftables-байткод" и отдаются в ядро на исполнение.

2.33, Аноним (33), 15:57, 14/03/2023 [^] [^^] [^^^] [ответить]	+/–
iptables сейчас работает через nftables. К тому же он проще, если его действительно удаляют из дистрибутивов то очень плохо

2.37, Аноним (26), 16:15, 14/03/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Лучше, ХЗ. Сложнее на порядок и синтаксис ад - да, несомненно.

3.52, 1 (??), 09:09, 15/03/2023 [^] [^^] [^^^] [ответить]	+/–
Я голосую за приведения синтаксиса nftables к синтаксису rust. И все будут довольны. Опять же безопастностЪ !

3.58, Аноним (56), 13:22, 15/03/2023 [^] [^^] [^^^] [ответить]	+/–
Что в нём адово? Синтаксис наподобие iproute2.

2.38, Аноним (26), 16:18, 14/03/2023 [^] [^^] [^^^] [ответить]

+/–

iptables никуда не денутся ещё ... всегда будут, просто потому что userspace API Линус не ломает, точка.

Изучайте, используйте.

Другой вопрос, что в новомодных компаниях их местные senior devops могут решить, что nfilters - будущее, и вы обязаны их использовать.

3.43, llolik (ok), 19:38, 14/03/2023 [^] [^^] [^^^] [ответить]

+/–

iptables - это не API ядра, это утилиты. В ядре только, собственно, сам фильтр - netfilter. Так что выкинуть могут.

> и вы обязаны их использовать

Ну, не утверждаю про обязаны, но nftables, как-минимум ИМХО, сильно читабельней.

1.29, Аноним (30), 15:35, 14/03/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). eBPF?

1.40, лютый ж.... (?), 17:17, 14/03/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
не взлетит, пока доцкеры сидят на iptables

2.42, Аноним (42), 19:30, 14/03/2023 [^] [^^] [^^^] [ответить]	+/–
Давно уже не использую iptables и вырубил его использование у докера вообще, тол... большой текст свёрнут, показать

3.64, Аноним (63), 01:33, 20/03/2023 [^] [^^] [^^^] [ответить]	+/–
Волшебные номера вхардкожены, и - имена интерфейсов. А тогда - не так всё просто.

1.44, Аноним (44), 19:48, 14/03/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Помнится мне обещали что ip4 скоро кончится, зато ip6 который мне присвоят не требует настройки брандмауэра!

2.50, Аноним (50), 06:17, 15/03/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Наоборот же :). Не меньше, а больше брандмауэра, из-за отсутствия NAT. Но ipv6 всё равно отличная вещь, там, где он есть.

3.53, 1 (??), 09:10, 15/03/2023 [^] [^^] [^^^] [ответить]	+3 +/–
И ещё более отличная, там где его нет.

3.57, Аноним (56), 13:17, 15/03/2023 [^] [^^] [^^^] [ответить]	+/–
В Linux запилили NAT для IPv6.

4.62, saa (?), 18:26, 19/03/2023 [^] [^^] [^^^] [ответить]	+/–
это не тот нат, что в ип4.

2.55, Аноним (56), 12:11, 15/03/2023 [^] [^^] [^^^] [ответить]	+/–
>ip6 который мне присвоят не требует настройки брандмауэра! 1. IPv6 в РФ не присвоят, РКН против. 2. Тебе безбожно врали.

3.59, Аноним (59), 15:01, 15/03/2023 [^] [^^] [^^^] [ответить]	+/–
> 1. IPv6 в РФ не присвоят, РКН против. Каво? У меня пров /56 сети раздаёт... Хошь подключай.

1.54, ChatGPT (?), 10:57, 15/03/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Я не осилил, в отличие от iptables. Это надо отдельно курс пройти по разработке конфигураций.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: