Опубликован выпуск пакетного фильтра nftables 1.0.8, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.
Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.
Основные изменения:
Добавлена возможность установки меток "meta" и "ct" из других полей в правилах. Например, для создания метки "meta" на основе манипуляций с IP-адресом из заголовка DSCP можно использовать конструкции вида:
... meta mark set ip dscp
... meta mark set ip dscp and 0x0f
... meta mark set ip dscp < 8
... meta mark set (ip dscp and 0xf) < 8
В оптимизаторе правил, вызываемом при указании опции "-o" ("--optimize"), улучшена упаковка выражений, связанных с трансляцией адресов (NAT). Например, правила
ip saddr 10.141.11.0/24 masquerade
ip saddr 10.141.13.0/24 masquerade
tcp dport 83 redirect to :8083
tcp dport 84 redirect to :8084
будут объединены в
ip saddr { 10.141.11.0/24, 10.141.13.0/24 } masquerade
redirect to :tcp dport map { 83 : 8083, 84 : 8084 }
В анонимных map-списках реализована поддержка сохраняющих состояние (stateful) выражений, таких как счётчики:
... meta mark { 0xa counter, 0xb counter }
... ip saddr vmap { 127.0.0.1 counter : drop, * counter : accept }
Появилась возможность упаковки наборов правил со сопоставленями 'ct state', без потери возможности подсчёта пакетов, например:
... ct state vmap { established counter : accept, \
related counter : accept, \
invalid counter : drop }
На системах с ядром Linux 6.5 добавлена поддержка сброса сохраняющих состояние выражений (обнуления счётчиков) в списках element, set и map:
reset element t m '{ 1.2.3.4 }'
reset map ip t m
reset set ip t m
Упрощён синтаксис команды "reset", позволяющей обнулять сохраняющую состояние информацию в правилах, такую как счётчики и состояние квот:
reset rules
reset rules ip
reset rules ip t
reset rules ip t c
При сбросе именованных объектов появилась возможность не указывать ключевое слово "table":
reset counters
reset counters ip
reset counters ip filter
Решена проблема с выводом некорректных сообщений об ошибках из-за отсутствия указания транспортного протокола при использовании map-выражений вида
... redirect to :tcp dport map { 83 : 8083, 84 : 8084 }
(осуществляет перенаправление трафика на localhost, выбирая порт перенаправления в зависимости от целевого порта, например, пакеты к порту 83 будут перенаправлены на TCP-порт 8083 хоста localhost).
При попытке загрузки правил, размер которых превышает ограничение, применяемое в непривилегированном пространстве имён (например, при попытке загрузки списков GeoIP в контейнере), обеспечен вывод рекомендации по увеличению значения параметра "/proc/sys/net/core/wmem_max".
Разрешено обновление устройств в существующих цепочках netdev.
table netdev x {
chain y {
type filter hook ingress devices = { eth0 } priority 0;
policy accept;
}
}
table netdev x {
chain y {
type filter hook ingress devices = { eth0, eth1 } priority
0; policy accept;
}
}
table netdev x {
chain y {
type filter hook ingress devices = { eth1 } priority 0;
policy accept;
}
}
В выводе "nft list sets" по умолчанию включено отображение элементов списка. Для отключения показа элементов предложена опция "-t" ("--terse").
Улучшены диагностические сообщений при ошибках, вызванных неверным выбором типа данных и некорректным использованием jump/goto в map.
# cat test.nft
table ip x {
map y {
typeof ip saddr : verdict
elements = { 1.2.3.4 : filter_server1 }
}
}
# nft -f test.nft
test.nft:4:26-39: Error: Could not parse netfilter verdict; did you mean
`jump filter_server1'?
elements = { 1.2.3.4 : filter_server1 }
^^^^^^^^^^^^^^
В наборах для присоединений (concatenation, определённые связки адресов и портов, упрощающие сопоставление) реализована возможность указания констант.
... update @s1 { ip saddr . 10.180.0.4 . 80 }
Добавлена поддержка отображения комментариев при выводе таблиц и цепочек в формате JSON:
{"nftables": [{"metainfo": {"version": "1.0.7", "release_name": "Old Doc
Yak", "json_schema_version": 1}}, {"table": {"family": "inet", "name": "test3",
"handle": 4, "comment": "this is a comment"}}]}
Добавлена возможность использования JSON при сопоставлении инкапсулированных и туннелируемых данных. Например, для сопоставления с полем dscp, инкапсулированным в заголовок vxlan, можно использовать следующую конструкцию:
[
{
"match": {
"left": {
"payload": {
"field": "dport",
"protocol": "udp"
}
},
"op": "==",
"right": 4789
}
},
{
"match": {
"left": {
"payload": {
"field": "dscp",
"protocol": "ip",
"tunnel": "vxlan"
}
},
"op": "==",
"right": 2
}
}
]
Добавлена поддержка JSON в выражении 'last used', показывающем когда последний раз использовался элемент правила или списка.
В команде 'nft list hooks' обеспечен показ зарегистрированных обработчиков bpf.
Запрещено одновременное использование параметров "-i" ("--interactive") и "-f" ("--filename").
В Python-привязках применение distutils заменено на setuptools.
https://www.opennet.ru/opennews/art.shtml?num=59444