Nftables Hooks: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „''nftables'' uses mostly the same Netfilter infrastructure as legacy ''iptables''. The hook infrastructure, [http://people.netfilter.org/pablo/docs/login.pdf C…“) |
|||
| Zeile 1: | Zeile 1: | ||
| − | ''nftables'' | + | ''nftables'' verwendet größtenteils dieselbe Netfilter-Infrastruktur wie ältere ''iptables''. Die Hook-Infrastruktur, [http://people.netfilter.org/pablo/docs/login.pdf Connection Tracking System], NAT-Engine, Logging-Infrastruktur und Userspace-Warteschlangen bleiben gleich. Lediglich das Framework zur Paketklassifizierung ist neu. |
| − | + | __Inhalt__ | |
| − | == Netfilter | + | == Netfilter hakt sich in Linux-Netzwerkpaketflüsse ein == |
| − | + | Das folgende Schema zeigt Paketflüsse durch Linux-Netzwerke: | |
| Zeile 13: | Zeile 13: | ||
| − | + | Datenverkehr, der im Eingabepfad zur lokalen Maschine fließt, sieht die Prerouting- und Eingabe-Hooks. Anschließend folgt der von lokalen Prozessen generierte Datenverkehr dem Ausgabe- und Postrouting-Pfad. | |
| − | + | Wenn Sie Ihre Linux-Box so konfigurieren, dass sie sich als Router verhält, vergessen Sie nicht, die Weiterleitung zu aktivieren über: | |
echo 1 > /proc/sys/net/ipv4/ip_forward | echo 1 > /proc/sys/net/ipv4/ip_forward | ||
| − | + | Dann werden Pakete, die nicht an Ihr lokales System adressiert sind, vom Forward-Hook gesehen. Solche weitergeleiteten Pakete folgen dem Pfad: Prerouting, Forward und Postrouting. | |
| − | + | Im Gegensatz zu iptables, das Ketten an '''jedem''' Hook (d.h. ''INPUT''-Kette in ''filter''-Tabelle) vordefiniert, definiert nftables überhaupt ''keine''' Ketten. Sie müssen explizit eine [[Configuring_chains#Base_chain_hooks | base chain]] an jedem Hook, an dem Sie den Datenverkehr filtern möchten. | |
| − | === Ingress | + | === Ingress-Hook === |
| − | + | Der Ingress-Hook wurde im Linux-Kernel 4.2 hinzugefügt. Im Gegensatz zu den anderen Netzfilter-Hooks ist der Ingress-Hook mit einer bestimmten Netzwerkschnittstelle verbunden. | |
| − | + | Sie können ''nftables'' mit dem Ingress-Hook verwenden, um sehr frühe Filterrichtlinien durchzusetzen, die sogar vor dem Prerouting wirksam werden. Beachten Sie, dass fragmentierte Datagramme in diesem sehr frühen Stadium noch nicht wieder zusammengesetzt wurden. So funktioniert beispielsweise das Abgleichen von ip saddr und daddr für alle IP-Pakete, aber das Abgleichen von L4-Headern wie udp dport funktioniert nur für unfragmentierte Pakete oder das erste Fragment. | |
| − | + | Der Ingress-Hook bietet eine Alternative zur ''tc''-Eingangsfilterung. Sie benötigen noch ''tc'' für Traffic Shaping/Warteschlangenverwaltung. | |
| − | == | + | == Haken nach Familie und Kettentyp == |
| − | + | Die folgende Tabelle listet verfügbare Hooks nach [[Nftables_families|family]] und [[Configuring_chains#Base_chain_types|chain type]] auf. Für kürzlich hinzugefügte Hooks werden die Mindestversionen von nftables und Linux-Kernel angezeigt. | |
{| class="wikitable" | {| class="wikitable" | ||
|- style="vertical-align:bottom;" | |- style="vertical-align:bottom;" | ||
| − | ! style="text-align:left;" rowspan="2" | | + | ! style="text-align:left;" rowspan="2" | Kettentyp |
| − | ! colspan="7" | | + | ! colspan="7" | Haken |
|- | |- | ||
| − | ! | + | ! eindringen |
| − | ! | + | ! vorrouting |
| − | ! | + | ! nach vorne |
| − | ! | + | ! Eingang |
| − | ! | + | ! Ausgang |
| − | ! | + | ! Postrouting |
| − | ! | + | ! aussteigen |
|- style="vertical-align:bottom;" | |- style="vertical-align:bottom;" | ||
| − | ! colspan="8" | <br>inet | + | ! colspan="8" | <br>inet-Familie |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Filter |
| {{yes|1=[https://marc.info/?l=netfilter&m=160379555303808&w=2 0.9.7] / [https://kernelnewbies.org/Linux_5.10 5.10]}} | | {{yes|1=[https://marc.info/?l=netfilter&m=160379555303808&w=2 0.9.7] / [https://kernelnewbies.org/Linux_5.10 5.10]}} | ||
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Nat |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Route |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:bottom;" | |- style="vertical-align:bottom;" | ||
| − | ! colspan="8" | <br> | + | ! colspan="8" | <br>IP6-Familie |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Filter |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Nat |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Route |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:bottom;" | |- style="vertical-align:bottom;" | ||
| − | ! colspan="8" | <br> | + | ! colspan="8" | <br>IP-Familie |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Filter |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Nat |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Route |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:bottom;" | |- style="vertical-align:bottom;" | ||
| − | ! colspan="8" | <br>arp | + | ! colspan="8" | <br>familie arp |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Filter |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Nat |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Route |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:bottom;" | |- style="vertical-align:bottom;" | ||
| − | ! colspan="8" | <br> | + | ! colspan="8" | <br>Brückenfamilie |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Filter |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{Jawohl}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Nat |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Route |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:bottom;" | |- style="vertical-align:bottom;" | ||
| − | ! colspan="8" | <br>netdev | + | ! colspan="8" | <br>netdev-Familie |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Filter |
| {{yes|1=[https://marc.info/?l=netfilter&m=146488681521497&w=2 0.6] / [https://kernelnewbies.org/Linux_4.2 4.2]}} | | {{yes|1=[https://marc.info/?l=netfilter&m=146488681521497&w=2 0.6] / [https://kernelnewbies.org/Linux_4.2 4.2]}} | ||
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein|- / [https://kernelnewbies.org/Linux_5.7 5.7]}} |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Nat |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
|- style="vertical-align:top;" | |- style="vertical-align:top;" | ||
| − | | | + | | Route |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{nein}} |
| − | | {{ | + | | {{n |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
Version vom 14. September 2022, 19:05 Uhr
nftables verwendet größtenteils dieselbe Netfilter-Infrastruktur wie ältere iptables. Die Hook-Infrastruktur, Connection Tracking System, NAT-Engine, Logging-Infrastruktur und Userspace-Warteschlangen bleiben gleich. Lediglich das Framework zur Paketklassifizierung ist neu.
__Inhalt__
Netfilter hakt sich in Linux-Netzwerkpaketflüsse ein
Das folgende Schema zeigt Paketflüsse durch Linux-Netzwerke:
https://people.netfilter.org/pablo/nf-hooks.png
Datenverkehr, der im Eingabepfad zur lokalen Maschine fließt, sieht die Prerouting- und Eingabe-Hooks. Anschließend folgt der von lokalen Prozessen generierte Datenverkehr dem Ausgabe- und Postrouting-Pfad.
Wenn Sie Ihre Linux-Box so konfigurieren, dass sie sich als Router verhält, vergessen Sie nicht, die Weiterleitung zu aktivieren über:
echo 1 > /proc/sys/net/ipv4/ip_forward
Dann werden Pakete, die nicht an Ihr lokales System adressiert sind, vom Forward-Hook gesehen. Solche weitergeleiteten Pakete folgen dem Pfad: Prerouting, Forward und Postrouting.
Im Gegensatz zu iptables, das Ketten an jedem' Hook (d.h. INPUT-Kette in filter-Tabelle) vordefiniert, definiert nftables überhaupt keine Ketten. Sie müssen explizit eine base chain an jedem Hook, an dem Sie den Datenverkehr filtern möchten.
Ingress-Hook
Der Ingress-Hook wurde im Linux-Kernel 4.2 hinzugefügt. Im Gegensatz zu den anderen Netzfilter-Hooks ist der Ingress-Hook mit einer bestimmten Netzwerkschnittstelle verbunden.
Sie können nftables mit dem Ingress-Hook verwenden, um sehr frühe Filterrichtlinien durchzusetzen, die sogar vor dem Prerouting wirksam werden. Beachten Sie, dass fragmentierte Datagramme in diesem sehr frühen Stadium noch nicht wieder zusammengesetzt wurden. So funktioniert beispielsweise das Abgleichen von ip saddr und daddr für alle IP-Pakete, aber das Abgleichen von L4-Headern wie udp dport funktioniert nur für unfragmentierte Pakete oder das erste Fragment.
Der Ingress-Hook bietet eine Alternative zur tc-Eingangsfilterung. Sie benötigen noch tc für Traffic Shaping/Warteschlangenverwaltung.
Haken nach Familie und Kettentyp
Die folgende Tabelle listet verfügbare Hooks nach family und chain type auf. Für kürzlich hinzugefügte Hooks werden die Mindestversionen von nftables und Linux-Kernel angezeigt.