Добавленно 17th Декабрь , 2014 в 10:26 ()

Нет комментариев

Проект Netfilter представил четвёртый выпуск нового пакетного фильтра nftables (0.4), а также выпуск сопутствующей библиотеки libnftnl 1.0.3, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. В пакет Nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, которая входит в состав ядра Linux начиная с выпуска 3.13.

Nftables нацелен на замену iptables, ip6table, arptables и ebtables, и примечателен унификацией интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. Для реализации поставленной задачи Nftables предоставляет на уровне ядра лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. В работе используются уже существующие типовые универсальные компоненты инфраструктуры Netfilter, в том числе применяются существующие хуки, система отслеживания состояния соединений, компоненты организации очередей и подсистема ведения лога.

Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Например, если в iptables при выполнении в правилах сопоставления номера входящего TCP-порта использовалась специальная предопределённая функция модуля ядра xt_tcpudp, то в nftables производится формирование инструкции «прочитать в регистр 2 байта из определённой позиции заголовка пакета и сравнить содержимое регистра с указанным значением». Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Для формирования правил фильтрации предлагается использовать утилиту nft, которая проверяет корректность правил и транслирует их в байткод. Правила могут как добавляться инкрементально, так и загружаться целиком из файла на диске. Синтаксис правил не похож на iptables и отличается использованием иерархических блочных структур вместо линейной схемы. Язык классификации правил основан на реальной грамматике, при обработке которой используется сгенерированный в bison парсер. Поддерживается словарный маппинг (хеши), поиск по наборам правил (sets), диапазоны значений (можно определять подсети), средства для отслеживания соединений, NAT, ведение лога. Для обеспечения совместимости с правилами iptables/ip6tables предоставляется специальная прослойка.

Особенности новой версии:

  • Поддержка операций с глобальными наборами правил (ruleset). Возможность появилась в ядре 3.18). Например, командой «nft flush ruleset» можно разом очистить все таблицы, цепочки и правила. Посмотреть доступные наборы правил можно командой «nft list ruleset». Результаты вывода данной команды можно сохранить в файл и затем загрузить при помощи «nft -f ruleset.file» для восстановления сохранённого состояния, что будет аналогично выполнению iptables-restore c захватом правил для всех поддерживаемых семейств протоколов (ip, ip6, inet, bridge и arp);
  • Поддержка ведения полного лога для всех семейств протоколов, в том числе nfnetlink_log. Поддерживается начиная с ядра Linux 3.17;
  • Возможность автоматического выбора оптимальной реализации списка (set). Поддерживается начиная с ядра Linux 3.16. Метод оптимизации списка можно определить и вручную, например, для включения оптимизации по потреблению памяти можно указать «nft add set filter set1 { type ipv4_addr ; policy memory ; }», а для оптимизации для достижения максимальной производительности — «nft add set filter set1 { type ipv4_addr ; policy performance ; }». Аналогичным образом можно поступить и для словарей (maps), например «nft add map filter map1 { type ipv4_addr : verdict ; policy performace ; }»;
  • Полноценная поддержка операции отклонения (reject) с отправкой ответного сообщения об ошибке. Например, «nft add rule filter input reject with icmp type host-unreachable» или «nft add rule filter input reject with tcp reset»;
  • Поддержка трансляции адресов (максарадинга) для IPv4 и IPv6. Например, «nft add rule nat postrouting masquerade». Работает в ядрах Linux, начиная с 3.18;
  • Поддержка перенаправления запросов (redirect). Например, «nft add rule nat prerouting tcp dport 22 redirect to 2222». Работает в ядрах Linux, начиная с 3.19-rc;
  • Поддержка NAT-флагов random, fully-random и persistent;
  • Проверка непротиворечивости пересечений между обновлениями и дампами ruleset;
  • Метаинформация о пакете расширена поддержкой сопоставлений pkttype, cpu и devgroup;
  • Добавлен скрипт для автоматического тестирования на предмет появления регрессивных изменений;
  • Возможность отключения использования библиотеки libreadline и отладки на стадии выполнения скрипта configure;
  • Система сборки переведена на использование autotools;
  • Изменение синтаксиса: Флаг ‘queue’ теперь рассматривается как разделённый запятыми список символов, например «nft add filter input counter queue num 0-3 fanout,bypass»;
  • По умолчанию прекращено преобразования имён в правилах. IP-адреса всегда должны задаваться в числовом представлении. Для резолвинга имён хостов следует явно указывать опцию ‘-N’.

Article source: http://www.opennet.ru/opennews/art.shtml?num=41282

Be the first to start a conversation

Leave a Reply