Выпуск пакетного фильтра nftables 0.4
Проект Netfilter представил четвёртый выпуск нового пакетного фильтра nftables (0.4), а также выпуск сопутствующей библиотеки libnftnl 1.0.3, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. В пакет Nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, которая входит в состав ядра Linux начиная с выпуска 3.13. Nftables нацелен на замену iptables, ip6table, arptables и ebtables, и примечателен унификацией интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. Для реализации поставленной задачи Nftables предоставляет на уровне ядра лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. В работе используются уже существующие типовые универсальные компоненты инфраструктуры Netfilter, в том числе применяются существующие хуки, система отслеживания состояния соединений, компоненты организации очередей и подсистема ведения лога.
Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Например, если в iptables при выполнении в правилах сопоставления номера входящего TCP-порта использовалась специальная предопределённая функция модуля ядра xt_tcpudp, то в nftables производится формирование инструкции «прочитать в регистр 2 байта из определённой позиции заголовка пакета и сравнить содержимое регистра с указанным значением». Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.
Для формирования правил фильтрации предлагается использовать утилиту nft, которая проверяет корректность правил и транслирует их в байткод. Правила могут как добавляться инкрементально, так и загружаться целиком из файла на диске. Синтаксис правил не похож на iptables и отличается использованием иерархических блочных структур вместо линейной схемы. Язык классификации правил основан на реальной грамматике, при обработке которой используется сгенерированный в bison парсер. Поддерживается словарный маппинг (хеши), поиск по наборам правил (sets), диапазоны значений (можно определять подсети), средства для отслеживания соединений, NAT, ведение лога. Для обеспечения совместимости с правилами iptables/ip6tables предоставляется специальная прослойка.
Особенности новой версии:
Поддержка операций с глобальными наборами правил (ruleset). Возможность появилась в ядре 3.18). Например, командой «nft flush ruleset» можно разом очистить все таблицы, цепочки и правила. Посмотреть доступные наборы правил можно командой «nft list ruleset», результаты вывода данной команды можно сохранить в файл и затем загрузить при помощи «nft -f ruleset.file» для восстановления сохранённого состояния, что будет аналогично выполнению iptables-restore c захватом правил для всех поддерживаемых семейств протоколов (ip, ip6, inet, bridge и arp); Поддержка ведения полного лога для всех семейств протоколов, в том числе nfnetlink_log. Поддерживается начиная с ядра Linux 3.17; Возможность автоматического выбора оптимальной реализации списка (set). Поддерживается начиная с ядра Linux 3.16. Метод оптимизации списка можно определить и вручную, например, для включения оптимизации по потреблению памяти можно указать «nft add set filter set1 { type ipv4_addr; policy memory; }», а для оптимизации для достижения максимальной производительности — «nft add set filter set1 { type ipv4_addr; policy performance; }». Аналогичным образом можно поступить и для словарей (maps), например «nft add map filter map1 { type ipv4_addr: verdict; policy performace; }»; Полноценная поддержка операции отклонения (reject) с отправкой ответного сообщения об ошибке. Например, «nft add rule filter input reject with icmp type host-unreachable» или «nft add rule filter input reject with tcp reset»; Поддержка трансляции адресов (максарадинга) для IPv4 и IPv6. Например, «nft add rule nat postrouting masquerade». Работает в ядрах Linux, начиная с 3.18; Поддержка перенаправления запросов (redirect). Например, «nft add rule nat prerouting tcp dport 22 redirect to 2222». Работает в ядрах Linux, начиная с 3.19-rc; Поддержка NAT-флагов random, fully-random и persistent; Проверка непротиворечивости пересечений между обновлениями и дампами ruleset; Метаинформация о пакете расширена поддержкой сопоставлений pkttype, cpu и devgroup; Добавлен скрипт для автоматического тестирования на предмет появления регрессивных изменений; Возможность отключения использования библиотеки libreadline и отладки на стадии выполнения скрипта configure; Система сборки переведена на использование autotools; Изменение синтаксиса: Флаг 'queue' теперь рассматривается как разделённый запятыми список символов, например «nft add filter input counter queue num 0–3 fanout, bypass»; По умолчанию прекращено разрешения имён в правилах. IP-адреса всегда должны задаваться в числовом представлении. Для резолвинга имён хостов следует явно указывать опцию '-N'.
© OpenNet