Проект Netfilter представил четвёртый выпуск нового пакетного фильтра nftables (0.4), а также выпуск сопутствующей библиотеки libnftnl 1.0.3, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. В пакет Nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, которая входит в состав ядра Linux начиная с выпуска 3.13.

Nftables нацелен на замену iptables, ip6table, arptables и ebtables, и примечателен унификацией интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. Для реализации поставленной задачи Nftables предоставляет на уровне ядра лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. В работе используются уже существующие типовые универсальные компоненты инфраструктуры Netfilter, в том числе применяются существующие хуки, система отслеживания состояния соединений, компоненты организации очередей и подсистема ведения лога.

Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Например, если в iptables при выполнении в правилах сопоставления номера входящего TCP-порта использовалась специальная предопределённая функция модуля ядра xt_tcpudp, то в nftables производится формирование инструкции "прочитать в регистр 2 байта из определённой позиции заголовка пакета и сравнить содержимое регистра с указанным значением". Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Для формирования правил фильтрации предлагается использовать утилиту nft, которая проверяет корректность правил и транслирует их в байткод. Правила могут как добавляться инкрементально, так и загружаться целиком из файла на диске. Синтаксис правил не похож на iptables и отличается использованием иерархических блочных структур вместо линейной схемы. Язык классификации правил основан на реальной грамматике, при обработке которой используется сгенерированный в bison парсер. Поддерживается словарный маппинг (хеши), поиск по наборам правил (sets), диапазоны значений (можно определять подсети), средства для отслеживания соединений, NAT, ведение лога. Для обеспечения совместимости с правилами iptables/ip6tables предоставляется специальная прослойка.

Особенности новой версии:

• Поддержка операций с глобальными наборами правил (ruleset). Возможность появилась в ядре 3.18). Например, командой "nft flush ruleset" можно разом очистить все таблицы, цепочки и правила. Посмотреть доступные наборы правил можно командой "nft list ruleset". Результаты вывода данной команды можно сохранить в файл и затем загрузить при помощи "nft -f ruleset.file" для восстановления сохранённого состояния, что будет аналогично выполнению iptables-restore c захватом правил для всех поддерживаемых семейств протоколов (ip, ip6, inet, bridge и arp);
• Поддержка ведения полного лога для всех семейств протоколов, в том числе nfnetlink_log. Поддерживается начиная с ядра Linux 3.17;
• Возможность автоматического выбора оптимальной реализации списка (set). Поддерживается начиная с ядра Linux 3.16. Метод оптимизации списка можно определить и вручную, например, для включения оптимизации по потреблению памяти можно указать "nft add set filter set1 { type ipv4_addr ; policy memory ; }", а для оптимизации для достижения максимальной производительности - "nft add set filter set1 { type ipv4_addr ; policy performance ; }". Аналогичным образом можно поступить и для словарей (maps), например "nft add map filter map1 { type ipv4_addr : verdict ; policy performace ; }";
• Полноценная поддержка операции отклонения (reject) с отправкой ответного сообщения об ошибке. Например, "nft add rule filter input reject with icmp type host-unreachable" или "nft add rule filter input reject with tcp reset";
• Поддержка трансляции адресов (маскарадинга) для IPv4 и IPv6. Например, "nft add rule nat postrouting masquerade". Работает в ядрах Linux, начиная с 3.18;
• Поддержка перенаправления запросов (redirect). Например, "nft add rule nat prerouting tcp dport 22 redirect to 2222". Работает в ядрах Linux, начиная с 3.19-rc;
• Поддержка NAT-флагов random, fully-random и persistent;
• Проверка непротиворечивости пересечений между обновлениями и дампами ruleset;
• Метаинформация о пакете расширена поддержкой сопоставлений pkttype, cpu и devgroup;
• Добавлен скрипт для автоматического тестирования на предмет появления регрессивных изменений;
• Возможность отключения использования библиотеки libreadline и отладки на стадии выполнения скрипта configure;
• Система сборки переведена на использование autotools;
• Изменение синтаксиса: Флаг 'queue' теперь рассматривается как разделённый запятыми список символов, например "nft add filter input counter queue num 0-3 fanout,bypass";
• По умолчанию прекращено преобразование имён в правилах. IP-адреса всегда должны задаваться в числовом представлении. Для резолвинга имён хостов следует явно указывать опцию '-N'.

Источник: http://www.opennet.ru/opennews/art.shtml?num=41282