На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.
Основные новшества:
- Появилась полноценная поддержка проверки содержимого полей в заголовках ICMP-пакетов.
... icmp type { echo-reply, echo-request} icmp id 1 icmp sequence 2 ... icmpv6 type packet-too-big icmpv6 mtu 1280 - Добавлена возможность сопоставления с использованием сырых значений опций TCP, выделяемых в формате «@kind,offset,length».
... tcp option @42,16,4
- Добавлена возможность проверки наличия в пакете любых опций TCP.
... tcp option 42 exists
- Предоставлена возможность отклонения трафика из цепочки «ingress», обрабатываемой на том же уровне, что ingress-обработчик в цепочке netdev (hook ingress), т.е. на стадии когда драйвер передаёт пакет сетевому стеку ядра.
table netdev x { chain y { type filter hook ingress device eth0 priority 0; policy accept; tcp dport 22 reject with tcp reset } } - Проведена оптимизация генерации байткода для сопоставления префиксов. Например, в результате для следующего правила будет сгенерированы две инструкции место трёх:
# nft --debug=netlink x y ip saddr 192.168.2.0/24 ip [ payload load 3b @ network header + 12 => reg 1 ] [ cmp eq reg 1 0x0002a8c0 ]
- Добавлена возможность указания нескольких выражений для каждого элемента set-списков. Необходимая функциональность появилась начиная с ядра Linux 5.11-rc1. Например, в примере ниже для динамического списка в выражении фигурирует ratelimit и число пакетов для каждого элемента списка:
table ip x { set y { type ipv4_addr size 65535 flags dynamic,timeout timeout 1h } chain z { type filter hook output priority filter; policy accept; update @y { ip daddr limit rate 1/second counter } } }Также допускается использование комбинированных выражений со статически определяемыми set-списками:
table ip x { set y { type ipv4_addr limit rate 1/second counter elements = { 1.1.1.1, 4.4.4.4, 5.5.5.5 } } chain y { type filter hook output priority filter; policy accept; ip daddr @y } }В данном примере выражения с ratelimit и счётчиком будут запущены при добавлении нового элемента в список, например, через «nft add element x y { 6.6.6.6 }».
- В CLI-интерфейс «nft -i» добавлена поддержка редактирования командной строки при помощи библиотеки editline вместо readline. Для работы требуется сборка с опцией «./configure —with-cli=editline».
Дополнительно доступен новый выпуск классического инструментария для управления пакетным фильтром iptables 1.8.7, развитие которого в основном сосредоточено на компонентах iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nf_tables. В iptables-nft повышена производительность сопоставлений префиксов IP- и MAC-адресов и обеспечен вывод дампов правил в цепочках, определённых пользователем, в неизменном лексическом порядке. В ebtables-nft устранена неработоспособность переименования пользовательских цепочек. Переработан и унифицирован код парсинга MAC-адресов.
Источник: http://www.opennet.ru/opennews/art.shtml?num=54419