Статья на Хабре Используем nftables в Red Hat Enterprise Linux 8 Технические требования
Скачать 0.63 Mb.
|
add будет добавлять правило в конец цепочки. Также вы можете использовать глагол insert, чтобы добавить правило в начало цепочки. # nft insert rule inet my_table my_filter_chain tcp dport http accept Мы добавили два правила, а теперь давайте посмотрим, как будет выглядеть полный набор правил. # nft list ruleset table inet my_table { chain my_filter_chain { type filter hook input priority 0; policy accept; tcp dport http accept tcp dport ssh accept } } Обратите внимание, что правило http должно отрабатывать раньше правила ssh, поскольку мы использовали выше глагол insert. Также вы можете добавить правило в произвольное место в цепочке. Есть два способа сделать это. Используйте index, чтобы указать на индекс в списке правил. Использование add добавит новое правило после указанного индекса. Если же вы используете insert, то новое правило будет добавлено перед правилом с заданным индексом. Значения индексов начинаются с 0. # nft insert rule inet my_table my_filter_chain index 1 tcp dport nfs accept # nft list ruleset table inet my_table { chain my_filter_chain { type filter hook input priority 0; policy accept; tcp dport http accept tcp dport nfs accept tcp dport ssh accept } } # nft add rule inet my_table my_filter_chain index 0 tcp dport 1234 accept # nft list ruleset table inet my_table { chain my_filter_chain { type filter hook input priority 0; policy accept; tcp dport http accept tcp dport 1234 accept tcp dport nfs accept tcp dport ssh accept } } Примечание: Использование index с insert по факту эквивалентно опции iptables -I с индексом. Первое, о чем нужно помнить, так это о том, что индексы в nftables начинаются с 0. Во-вторых, индекс должен указывать на существующее правило. То есть писать "nft insert rule … index 0" в пустой цепочке недопустимо. Используйте handle, чтобы указать правило, до или после которого нужно вставлять другое правило. Для вставки после используйте глагол add. Чтобы вставить до правила, используйте insert. Вы можете получить handle правил, добавив флаг –handle при выводе правил. # nft --handle list ruleset table inet my_table { # handle 21 chain my_filter_chain { # handle 1 type filter hook input priority 0; policy accept; tcp dport http accept # handle 3 tcp dport ssh accept # handle 2 } } # nft add rule inet my_table my_filter_chain handle 3 tcp dport 1234 accept # nft insert rule inet my_table my_filter_chain handle 2 tcp dport nfs accept # nft --handle list ruleset table inet my_table { # handle 21 chain my_filter_chain { # handle 1 type filter hook input priority 0; policy accept; tcp dport http accept # handle 3 tcp dport 1234 accept # handle 8 tcp dport nfs accept # handle 7 tcp dport ssh accept # handle 2 } } В nftables handle правил стабилен и не изменится до тех пор, пока правило не будет удалено. Так ссылка на правило получается надежнее, чем просто индекс, который может поменяться при вставке другого правила. Также вы можете получить handle правила во время создания, используя сразу два флага –echo и –handle. Правило будет выведено в CLI вместе с его handle. # nft --echo --handle add rule inet my_table my_filter_chain udp dport 3333 accept add rule inet my_table my_filter_chain udp dport 3333 accept # handle 4 Примечание: старые версии nftables использовали позицию ключевого слова. С тех пор механика ключевых слов устарела и появился handle. Удаление правил Удаление правил выполняется с помощью handle правила по аналогии с командами add и insert выше. Сначала нужно найти handle правила, которое вы хотите удалить. # nft --handle list ruleset table inet my_table { # handle 21 chain my_filter_chain { # handle 1 type filter hook input priority 0; policy accept; tcp dport http accept # handle 3 tcp dport 1234 accept # handle 8 tcp dport nfs accept # handle 7 tcp dport ssh accept # handle 2 } } Затем используйте этот handle для удаления правила. # nft delete rule inet my_table my_filter_chain handle 8 # nft --handle list ruleset table inet my_table { # handle 21 chain my_filter_chain { # handle 1 type filter hook input priority 0; policy accept; tcp dport http accept # handle 3 tcp dport nfs accept # handle 7 tcp dport ssh accept # handle 2 } } Листинг правил В примерах выше мы выводили весь список правил. Существует много других способов вывести подмножество правил. Вывести все правила в заданной таблице. # nft list table inet my_table table inet my_table { chain my_filter_chain { type filter hook input priority 0; policy accept; tcp dport http accept tcp dport nfs accept tcp dport ssh accept } } Вывести правила в заданной цепочке. # nft list chain inet my_table my_other_chain table inet my_table { chain my_other_chain { udp dport 12345 log prefix "UDP-12345" } } Наборы В nftables есть нативная поддержка наборов. Они могут оказаться полезными, если вы хотите, чтобы правило работало с несколькими IP-адресами, портами, интерфейсами или по любым другим критериям. Анонимные наборы Любое правило может иметь inline-наборы. Эта механика полезна для наборов, которые вы не собираетесь изменять. Например, следующая команда будет разрешать весь трафик с 10.10.10.123 и 10.10.10.231. # nft add rule inet my_table my_filter_chain ip saddr { 10.10.10.123, 10.10.10.231 } accept # nft list ruleset table inet my_table { chain my_filter_chain { type filter hook input priority 0; policy accept; tcp dport http accept tcp dport nfs accept tcp dport ssh accept ip saddr { 10.10.10.123, 10.10.10.231 } accept } Недостатком этого метода является то, что если вам нужно изменить набор, то нужно будет заменять и правило. Чтобы получить мутабельные наборы, нужно использовать именованные наборы. В качестве другого примера, вместо первых трех правил мы могли бы использовать анонимный набор. # nft add rule inet my_table my_filter_chain tcp dport { http, nfs, ssh } accept Примечание: пользователи iptables скорее всего привыкли к использованию ipset. Поскольку в nftables есть собственная нативная поддержка наборов, ipset использовать не нужно. Именованные наборы Nftables также поддерживает мутабельные именованные наборы. Для их создания необходимо указать тип элементов, которые будут в них содержаться. Например, типы могут быть такими: ipv4_addr, inet_service, ether_addr. Давайте создадим пустой набор. # nft add set inet my_table my_set { type ipv4_addr \; } # nft list sets table inet my_table { set my_set { type ipv4_addr } } Чтобы сослаться на набор в правиле используйте символ @ и имя набора после него. Следующее правило будет работать как черный список для IP-адресов в нашем наборе. # nft insert rule inet my_table my_filter_chain ip saddr @my_set drop # nft list chain inet my_table my_filter_chain table inet my_table { chain my_filter_chain { type filter hook input priority 0; policy accept; ip saddr @my_set drop tcp dport http accept tcp dport nfs accept tcp dport ssh accept ip saddr { 10.10.10.123, 10.10.10.231 } accept } } Конечно, это не особо эффективно, так как в наборе пусто. Давайте добавим в него несколько элементов. # nft add element inet my_table my_set { 10.10.10.22, 10.10.10.33 } # nft list set inet my_table my_set table inet my_table { set my_set { type ipv4_addr elements = { 10.10.10.22, 10.10.10.33 } } } Однако попытка добавить диапазон значений приведет к ошибке. # nft add element inet my_table my_set { 10.20.20.0-10.20.20.255 } Error: Set member cannot be range, missing interval flag on declaration add element inet my_table my_set { 10.20.20.0-10.20.20.255 } Чтобы использовать диапазоны в наборах, нужно создать набор с использованием флагов интервалов. Так нужно, чтобы ядро заранее знало, какой тип данных будет храниться в наборе, чтобы использовать соответствующую структуру данных. Интервалы в наборах В наборах также могут использовать диапазоны. Для IP-адресов это может быть крайне полезно. Для использования диапазонов, набор должен быть создан с использованием флагов интервалов. # nft add set inet my_table my_range_set { type ipv4_addr \; flags interval \; } # nft add element inet my_table my_range_set { 10.20.20.0/24 } # nft list set inet my_table my_range_set table inet my_table { set my_range_set { type ipv4_addr flags interval elements = { 10.20.20.0/24 } } } Примечание: Нотация маски сети была неявно преобразована в диапазон IP-адресов. Аналогично, мы могли бы написать 10.20.20.0-10.20.20.255 и получить тот же эффект. Конкатенации наборов Наборы также поддерживают агрегатные типы и совпадения. То есть элемент набора также может содержать несколько типов, а правило может использовать оператор конкатенации «.» при обращении к набору. В этом примере мы сможем сопоставлять IPv4-адреса, IP-протоколы и номера портов одновременно. # nft add set inet my_table my_concat_set { type ipv4_addr . inet_proto . inet_service \; } # nft list set inet my_table my_concat_set table inet my_table { set my_concat_set { type ipv4_addr . inet_proto . inet_service } } Теперь мы можем добавить элементы к списку. # nft add element inet my_table my_concat_set { 10.30.30.30 . tcp . telnet } Как видите, символьные имена (tcp, telnet) также можно использовать при добавлении элементов набора. Использование набора в правиле аналогично именованному набору выше, но правило должно выполнять конкатенацию. # nft add rule inet my_table my_filter_chain ip saddr . meta l4proto . tcp dport @my_concat_set accept # nft list chain inet my_table my_filter_chain table inet my_table { chain my_filter_chain { ... ip saddr { 10.10.10.123, 10.10.10.231 } accept meta nfproto ipv4 ip saddr . meta l4proto . tcp dport @my_concat_set accept } } Также стоит отметить, что конкатенация может использоваться с inline-наборами. Вот последний пример, отражающий это. # nft add rule inet my_table my_filter_chain ip saddr . meta l4proto . udp dport { 10.30.30.30 . udp . bootps } accept Надеюсь, теперь вы понимаете всю силу наборов nftables. Примечание: конкатенации наборов nftables аналогичны агрегатным типам ipset, например, hash:ip,port. Verdict Map Verdict map – это интересная функция в nftables, которая позволит вам выполнить действие, основываясь на информации в пакете. Проще говоря, они сопоставляют критерии с действиями. Например, чтобы логически разделить набор правил, вам нужны отдельные цепочки для обработки TCP и UDP пакетов. Вы можете использовать verdict map, чтобы направлять пакеты в эти цепочки с помощью одного правила. # nft add chain inet my_table my_tcp_chain # nft add chain inet my_table my_udp_chain # nft add rule inet my_table my_filter_chain meta l4proto vmap { tcp : jump my_tcp_chain, udp : jump my_udp_chain } # nft list chain inet my_table my_filter_chain table inet my_table { chain my_filter_chain { ... meta nfproto ipv4 ip saddr . meta l4proto . udp dport { 10.30.30.30 . udp . bootps } accept meta l4proto vmap { tcp : jump my_tcp_chain, udp : jump my_udp_chain } } } Конечно, по аналогии с наборами вы можете создавать мутабельные verdict map. # nft add map inet my_table my_vmap { type inet_proto : verdict \; } Ваши глаза вас не обманывают. Синтаксис с наборами и вправду очень схож. По факту, под капотом наборы и verdict map строятся на одном и том же типе данных. Теперь вы можете использовать мутабельную verdict map в правиле. # nft add rule inet my_table my_filter_chain meta l4proto vmap @my_vmap Таблицы как пространства имен Еще одна интересная вещь о таблицах в nftables – это то, что они также являются полноценными пространствами имен. То есть две таблицы могут создавать цепочки, наборы и другие объекты с одинаковыми именами. # nft add table inet table_one # nft add chain inet table_one my_chain # nft add table inet table_two # nft add chain inet table_two my_chain # nft list ruleset ... table inet table_one { chain my_chain { } } table inet table_two { chain my_chain { } } Это свойство означает, что приложения могут организовывать правила в своих собственных цепочках, не затрагивая другие приложения. В iptables приложениям было тяжело вносить изменения в брандмауэр, не влияя на другие приложения. Однако и тут есть один нюанс. Каждый хук таблицы или цепочки можно рассматривать как независимый и отдельный брандмауэр. То есть пакет должен пройти через все, чтобы в итоге быть принятым. Если table_one принимает пакет, его все еще может отклонить table_two. Именно здесь в игру вступает приоритезация хуков. Цепочка с более низким приоритетом гарантированно будет выполнена перед цепочкой с более высоким приоритетом. Если приоритеты равны, то поведение не определено. Сохранение и восстановление набора правил Правила nftables можно с легкостью сохранить и восстановить. Вывод list в nft можно использовать в инструменте, чтобы провести восстановление. Именно так работает служба nftables systemd. Сохранить набор правил # nft list ruleset > /root/nftables.conf Восстановить набор правил # nft -f /root/nftables.conf Конечно же, вы можете включить службу systemd и восстановить правила при перезагрузке. Служба читает правила из /etc/sysconfig/nftables.conf. # systemctl enable nftables # nft list ruleset > /etc/sysconfig/nftables.conf Примечание: некоторые дистрибутивы, включая RHEL-8, отправляют предопределенную конфигурацию nftables в /etc/nftables. Эти сэмплы часто включают в себя конфигурацию таблиц и цепочек в стиле iptables. Они часто указаны в файле /etc/sysconfig/nftables.conf, но могут быть закомментированы. Заключение Надеюсь, эта статья стала хорошим введением и демонстрацией возможностей nftables. Однако мы только коснулись поверхности nftables. Есть множество особенностей, которые здесь не затрагивались. Вы можете найти более подробную информацию на странице документации nft и в вики. Помимо этого, вы можете прочитать несколько следующих статей в этом блоге, в которых мы будем говорить о более продвинутых аспектах nftables. |