nftables–DerneuePaketﬁlterim Linux-Kernel · nftables–DerneuePaketﬁlterim Linux-Kernel CLT201415.März2014 Michael Steinfurth Linux/Unix Consultant & Trainer B1 Systems GmbH

nftables – Der neue Paketfilter imLinux-KernelCLT 2014 15. März 2014

Michael SteinfurthLinux/Unix Consultant & Trainer

B1 Systems [email protected]

B1 Systems GmbH - Linux/Open Source Consulting, Training, Support & Development

mailto:[email protected]

Agenda

Vorstellung B1 Systems

nftables – Einführung

Funktionsweise

Was kann nftables?

Beispiel – Praxis

B1 Systems GmbHnftables – Der neue Paketfilter im

Linux-Kernel 2 / 34

http://www.b1-systems.de

Vorstellung B1 Systems

gegründet 2004primär Linux/Open Source-Themennational & international tätigüber 60 Mitarbeiterunabhängig von Soft- und Hardware-HerstellernLeistungsangebot:

Beratung & ConsultingSupportEntwicklungTrainingBetriebLösungen

dezentrale Strukturen


Linux-Kernel 3 / 34


SchwerpunkteVirtualisierung (XEN, KVM & RHEV)Systemmanagement (Spacewalk, Red Hat Satellite, SUSEManager)Konfigurationsmanagement (Puppet & Chef)Monitoring (Nagios & Icinga)IaaS Cloud (OpenStack & SUSE Cloud)Hochverfügbarkeit (Pacemaker)Shared Storage (GPFS, OCFS2, DRBD & CEPH)Dateiaustausch (ownCloud)Paketierung (Open Build Service)Administratoren oder Entwickler zur Unterstützung des Teamsvor Ort


Linux-Kernel 4 / 34


nftables – Einführung


Linux-Kernel 5 / 34


Was ist nftables?

moderner Paketfilter im Linux-Kerneldas Programm im Nutzerbereich (User Space)zustandsgesteuertkeine Veränderung am Netfilter- & Connection-Tracking-Systemiptables-Ersatz?

Ja! wenn ausgereift und stabil


Linux-Kernel 6 / 34


Was ist nftables?




Linux-Kernel 6 / 34


Was ist nftables?




Linux-Kernel 6 / 34


Was ist nftables?




Linux-Kernel 6 / 34


Was ist nftables?




Linux-Kernel 6 / 34


Was ist nftables?




Linux-Kernel 6 / 34


Geschichte

NFWS 2008: P. McHardy “Nftables: an iptables rewrite”18. März 2009: Linux-netdev “First release of nftables”Kommentar am 20. März 2010: in ArbeitStillstand bis 2012die Firma Astaro sponsort WeiterentwicklungAufnahmeantrag in den Hauptentwicklungszweig19. Januar Release 3.13 Einzug in den Linux-Kernel


Linux-Kernel 7 / 34


Geschichte



Linux-Kernel 7 / 34


Geschichte



Linux-Kernel 7 / 34


Geschichte



Linux-Kernel 7 / 34


Geschichte



Linux-Kernel 7 / 34


Geschichte



Linux-Kernel 7 / 34


Geschichte



Linux-Kernel 7 / 34


Warum nftables und nicht mehr iptables?

bisher: Binäraustausch bei Regeländerungennicht inkrementell, kompletter RegelsatzKommunikation mit Kernel über raw Sockets↪→ je mehr Regeln, desto höhere Austauschzeit

Erweiterungen im Userspace & Kernelspacepro Funktion einmal im Kernel und einmal im UserspaceErweiterungen zweifacher Entwicklungsaufwandmehrere Erweiterungen pro Anfrage↪→ mehr Leistungsanforderungen

keine “offizielle Bilbiothek”redundanter Quelltext unter verschiedenen Modulen


Linux-Kernel 8 / 34







Linux-Kernel 8 / 34







Linux-Kernel 8 / 34







Linux-Kernel 8 / 34







Linux-Kernel 8 / 34







Linux-Kernel 8 / 34







Linux-Kernel 8 / 34







Linux-Kernel 8 / 34







Linux-Kernel 8 / 34







Linux-Kernel 8 / 34







Linux-Kernel 8 / 34



leichte Leistungseinbußen auch ohne Regelngeladene Moduleverbunden mit Netfilter

eigene Programme für unterschiedliche Protokollebenenebtables, arptables, iptables, ip6tables

schwierig in “modernen” Netzenverschiedene IP-Adressen aus verschiedenen Bereichen1-zu-1 Beschränkungen↪→ viele Regeln

ungünstig für wechselnde virtuelle Maschinen (Cloud)


Linux-Kernel 9 / 34








Linux-Kernel 9 / 34








Linux-Kernel 9 / 34








Linux-Kernel 9 / 34








Linux-Kernel 9 / 34








Linux-Kernel 9 / 34








Linux-Kernel 9 / 34








Linux-Kernel 9 / 34








Linux-Kernel 9 / 34








Linux-Kernel 9 / 34


Funktionsweise


Linux-Kernel 10 / 34


Übersicht




nft, das Administrationswerkzeug

Beispiel nft# nft list table filter

Administrator benutzt nft zur Steuerung im Kernelaktivieren, auslesen, konfigurieren, löschenBefehlszeilenprogramm mit ParameternRegeln ohne Optionsparameter (-o, --option)Optionen:

[-i] interaktive[-f] von Datei lesen[-n] numerisch (mehrfach: nn, nnn)[-a] mehr Information (Regel-“Handle”)





























































Grammatik mit Stichworten/Symbolen (token)Scanner erfasst TOKENZusammenarbeit mit einem ParserUmsetzung der kontext-freien Grammatik in FunktionenScanner in flex geschriebenParser in GNU bison





























Übergang libnftnl zum Kernel

“Verpacken” der Regeln in Netlink-Nachrichtenbinär, keine Text-Stichwortelibmnl kommuniziert mit Kernel über nfnetlinkKernel lauscht auf netlink-Nachrichtengenerischen Operationen und Werte aus Nachricht↪→ Zustandsautomat





























Zustandsautomat nach BPF

4 Register + versch. Filter-Befehlssätze

netlink nachrichten Inhaltip filter input 0 0

[ payload load 4b @ network header + 12 => reg 1 ][ cmp eq reg 1 0x0a0a0a0a ][ immediate reg 0 accept ]

nft add rule ip filter input ip saddr 10.10.10.10 accept




Zustandsautomat nach BPF

4 Register + versch. Filter-Befehlssätze

netlink nachrichten Inhaltip filter input 0 0

[ payload load 4b @ network header + 12 => reg 1 ][ cmp eq reg 1 0x0a0a0a0a ][ immediate reg 0 accept ]

nft add rule ip filter input ip saddr 10.10.10.10 accept




Erklärung payload

payload load 4b @ network header + 12





Erklärung payload






Was kann nftables?




Grundlegende Funktionen

Tabellenbase-KettenNetfilter HooksKettenRegeln




Tabellen

Tabelle erstellen/anzeigen/leeren/löschen# nft add table ip filter# nft list table ip filter# nft flush table ip filter# nft delete table ip filter

Tabellenname frei wählbarProtokollarten ip,ip6,arp,bridge,(inet)

gibt es nicht automatisch!




base-Ketten

registriert an netfilter hooksprerouting,input,forward,output,postrouting

type-basiert:filter, nat, route (ähnl. mangle)

Prioritätkeine “Default Policy”!

Erstellen einer base-Kette# nft add chain \filter input { type filter hook input priority 0 \; }




base-Ketten








base-Ketten








base-Ketten








base-Ketten








base-Ketten








Netfilter Hooks




Ketten

Nutzer-Ketten (non-base) wie in iptables

Kette leeren → löschenKetten löschen → Tabellen löschen

Kette erstellen/leeren/löschen# nft add chain ip filter Kette1# nft flush chain ip filter Kette1# nft delete chain ip filter Kette1




Ketten







Ketten







Regeln

verschiedene Parameter hintereinanderAktionen (verdict): accept, counter, log, jump,reject, drop

Regel erstellen und löschen# nft add rule filter input saddr 10.10.10.1 count accept# nft add rule myfilter output ip saddr 10.10.10.0/24 \

ip daddr 10.10.20.0/24 log accept# nft add rule filter input tcp dport http counter# nft add rule ip filter input saddr 10.10.10.1 jump Kette1# nft delete rule ip filter input handle 1




Regeln

verschiedene Parameter hintereinanderAktionen (verdict): accept, counter, log, jump,reject, drop

Regel erstellen und löschen# nft add rule filter input saddr 10.10.10.1 count accept# nft add rule myfilter output ip saddr 10.10.10.0/24 \

ip daddr 10.10.20.0/24 log accept# nft add rule filter input tcp dport http counter# nft add rule ip filter input saddr 10.10.10.1 jump Kette1# nft delete rule ip filter input handle 1




Allgemeines

Datei: myrulestable ip myfilter {

chain input {type filter hook input priority 0;ip saddr 10.10.10.1 acceptip saddr 10.10.10.0/24 log drop

}

chain forward {type filter hook forward priority 0;

}

chain output {type filter hook output priority 0;

}}




Erweiterte Funktionen

SetsDictionaries/Mapsspezielle MapsIntervalle




Sets

Datensätze werden überprüftz.B. nicht für jede IP-Adresse eine Regelanonyme und namensbasierteanonyme Sets nicht veränderbar

Anonyme Sets# nft add rule myfilter input tcp dport { 80, 443 } accept# nft add rule myfilter input ip saddr \

{ 10.10.10.1, 10.10.20.1 } accept




Sets

namensbasierte Sets können verändert werden(mehrfacher) Zugriff über RegelnZugriff durch Regel unterbindet Löschenverschieden Typen (IP(6)-Adressen, Ports, Protocol, Marks,IF-Indexe)

Namensbasierte Sets# nft add set myfilter webserver { type ipv4_address\; }# nft add element myfilter \

webserver { 10.10.80.1, 10.10.81.2 }# nft list set myfilter webserver# nft add rule myfilter input ip daddr @webserver accept# nft delete set myfilter webserver




Sets







Sets







Sets







Dictionaries/Maps

intern: spezielle Setsnamensbasiert und anonym

anonym# nft add rule myfilter input ip protocol \vmap {udp : jump udpkette, tcp : jump tcpkette, icmp : accept

}




Dictionaries/Maps

intern: spezielle Setsnamensbasiert und anonym

anonym# nft add rule myfilter input ip protocol \vmap {udp : jump udpkette, tcp : jump tcpkette, icmp : accept

}




Dictionaries/Maps

Befehle# nft add map myfilter \

v_map { type ipv4_address : verdict\; }# nft add element myfilter \

v_map { 10.10.10.20 : drop, 10.10.10.40 : drop }

Konfigurationausgabe/Dateimap v_map {

type ipv4_address : verdictelements = { 10.10.10.40 : drop, 10.10.10.20 : drop }

}




Spezielle Maps

Namensbasierte Konfigurationmap nat_map {

type ifindex : ipv4_addresselements = { eth0 : 10.10.10.1, eth1 : 10.10.20.2 }

}map jump_map {

type ipv4_address : verdictelements = { 10.10.10.1 : jump Kette1 }

}




IntervalleBereiche, die nicht durch Netzmasken abgedeckt werdendirekt, indirekt als Liste und in Maps

Intervalle# nft add rule myfilter input ip daddr \

10.10.10.1-10.10.10.25 drop# nft add rule myfilter input ip daddr \

{10.10.10.1-10.10.10.25,\10.10.10.250-10.10.10.255

} drop# nft add rule ip filter forward ip daddr vmap \

{10.10.10.1-10.10.10.25 : jump webserver,10.10.10.100-10.10.10.111 : jump dbserver

} drop




IntervalleBereiche, die nicht durch Netzmasken abgedeckt werdendirekt, indirekt als Liste und in Maps

Intervalle# nft add rule myfilter input ip daddr \

10.10.10.1-10.10.10.25 drop# nft add rule myfilter input ip daddr \

{10.10.10.1-10.10.10.25,\10.10.10.250-10.10.10.255

} drop# nft add rule ip filter forward ip daddr vmap \

{10.10.10.1-10.10.10.25 : jump webserver,10.10.10.100-10.10.10.111 : jump dbserver

} drop




Beispiel – Praxis




Quellen

http://lwn.net/Articles/324251/ – Ankündigung nftableshttp://home.regit.org/* – Eric Leblond (Core Entwickler)slideshare.net – Kernel-recipes-2013 – nftables Vortrag –Eric Leblondhttp://people.netfilter.org/wiki-nftables/



http://lwn.net/Articles/324251/

http://home.regit.org/*

slideshare.net

http://people.netfilter.org/wiki-nftables/


Vielen Dank für die Aufmerksamkeit!Bei weiteren Fragen wenden Sie sich bitte an [email protected]

oder +49 (0)8457 - 931096

B1 Systems GmbH - Linux/Open Source Consulting, Training, Support & Development

mailto:[email protected]

nftables–DerneuePaketﬁlterim Linux-Kernel · nftables–DerneuePaketﬁlterim Linux-Kernel CLT201415.März2014 Michael Steinfurth Linux/Unix Consultant & Trainer B1 Systems GmbH

Text of nftables–DerneuePaketﬁlterim Linux-Kernel · nftables–DerneuePaketﬁlterim Linux-Kernel...

Linux Kernel Auditing - Heinlein Support GmbH · Bonn, IIS, B. Knust Seite 2 Kernel Auditing SLAC 2016 Benjamin Knust Unix / Linux Engineer 8 Jahre Linux Consulting 3 Jahre Unix

Was ist Linux ? Linux ist grundsätzlich nur der Kernel (Betriebssystemkern) Zur Nutzung benötigt der Linux Kernel eine Software (meistens GNU) Der Begriff

Linux Maskottchen: TUX. Was ist Linux? Freie Software Unixoider Betriebssystemkern (Kernel) Betriebssystem Wichtige Distributionen: Debian, Ubuntu, openSuse,

Kernel Programmierung unter Linux - lab4inf.fh … · • Sind die Sourcenübertragen werden sie mit dem Befehl tarxfz linux_cross.tar.gz entpackt. • Mit uname–a ermittelt man

SNMP Kernel

OSUE Linux Kernel Modul Bonusbeispiel@download/file/osue-9_bonus_task.pdfOSUE Linux Kernel Modul Bonusbeispiel Christian Hirsch Motivation Linux ist erweiterbar – beispielsweise

Aktuelle Entwicklungen beim Linux-Kernel · nicht über Spielkram wie Steam, sondern eher die harten Sachen

Der Laseko-Bordcomputer: Hardware und Systemkonzept · System, Buildroot I Buildroot 2009.08, Kernel 2.6.35.4 I Generell: Cross-Firmware-Generator f ur Linux-Systeme I Referenzsystem

Ubuntu Linux vorgestellt von Christoph Grabmer. Was ist Ubuntu? Linux-Betriebssystem - Kernel stammt von einer afrikanischen Sprache ab Bedeutung: Menschlichkeit

Verlässliche Echtzeitsysteme - Übungen zur Vorlesung [1em]Git file2005 von Linus Torvalds für den Linux-Kernel geschrieben Konsequenz der Erfahrungen mit bitkeeper Eigenschaften:

Hinweise zur Debian-Veröffentlichung Version 10 (Buster ... · Linux-Kernel-Image 4.9-Serie 4.19-Serie LLVM/Clang-Werkzeugkette 3.7 6.0.1und7.0.1(Standardversi-on) MariaDB 10.1 10.3

OSUE Linux Kernel Modul Bonusbeispiel · kernel/rlC-NG3Yv3Q 2/41. OSUE Linux Kernel Modul Bonusbeispiel Frömel Überblick I Kernel Module und Device Drivers I Kernel Modul Build

OS V11 Operating System Design - inf.fu-berlin.de · Android-Betriebssystem-basiert auf Linux Kernel 2.6-mit Energieverwaltungssystem-verändertes Speicherverwaltungssystem-neue Treiber

Stefan Warmuth - luga.de · sdcc Einleitung USB für Einsteiger USB allgemein Linux und USB Kernel Module Host usbdevfs hotplug USB Geräte HID Scanner Drucker Massenspeicher Digital

Freie Software für den Unternehmenseinsatz: Multitalent Open … · 2016-06-03 · Linux’ nftables und OpenBSDs Paketfilter Büroanwendungen: LibreOffice Zentral verwalten, professionell

UCS 4.3 Release Notes - software-univention.deMehr als 20.000 Source Pakete wurden aktualisiert und zum Teil an die Bedürfnisse der Nutzer von UCS angepasst. Als Linux Kernel wird

Computer & GNU/Linux Einfuhr ung Teil 1 · Kernel Die Runlevels Runlevels und Initialisierung Runlevels I 0 Shutdown. I S Single-User-Runlevel I 1 Einzelnutzerbetrieb (ohne Netzwerk,

Linux Kernel Driver Tutorial - [email protected]

Systeme 1 Kapitel 9.1 Betriebssysteme auf aktueller Hardware Kapitel 9.2 Interaktion von Hardware und Betriebssystem Linux-Kernel und x86 Systeme WS 2009/101

LPIC-2 - Amazon S3...LPIC-2 Sicher zur erfolgreichen Linux-Zertifizierung Auf einen Blick Auf einen Blick LPI 201 201 Der Linux-Kernel ..... 19 203 Dateisystem und Devices ..... 63

Linux Kernel – perf실제 PATCH mail 전송예시 # git send-email --confirm=never \--to "Arnaldo Carvalho de Melo " \--cc "[email protected]" \--cc

Embedded Linux Systeme - GINZINGER electronic systems · 2019. 8. 26. · Linux: Betriebssystem-Kern, aber keine Unix-Userspace. Kombination um 1992 Linux-Kernel wurde unter die GPL

Prozesse und Prozessverwaltung im Linux-Kerneldoto/pdf/ps-linux_internals... · Einf¨uhrung Prozessverwaltung Prozesswechsel Prozesse erzeugen Kernel-Threads Prozesse zerst¨oren

OSUE Linux Kernel Modul Bonusbeispiel · OSUE Linux Kernel Modul Bonusbeispiel Frömel Der Linux Kernel Kernel Modul Appplication vs. Kernel Modul Device Drivers Allgemeines I Linux

Happy Birthday Linux oder das Coming out von Linux - a2x.ch · 1995 Kernel Version 1.2 mit 250'000 Zeilen Code. 1996 Kernel Version 2.0 erstmals Support für mehrere Prozessoren

Memory ... · Stuktur der Linux-Sourcen. ... CPU einige Zustandsdaten auf den Stack und führt eine Interrupt-Routine aus (siehe…/arch/ i386/kernel/irq.c): IRQ1_interrupt:

Exakte Systemkontrolle · Audit-Systems für den Linux-Kernel 2.6. Aktu-ell betreut Steve Grubb dieses Projekt. Dieser neue Audit-Daemon stellt sehr umfangreiche Protokoll-Möglichkeiten

Betriebssysteme Kapitel 11 - pc01-lsw.ee.hm.eduthomas/Vorlesung/VBS/vbsbx.pdfSockets in LINUX – Grundlagen (1) ... PF_IPX Novell Internet-Protokolle (IPX) PF_NETLINK "Kernel User

Onebox™ - IMX53 Installation and Test Procedure Manual ......The Linux kernel running on the Linux host will assign a device node to the SD/MMC card reader. The kernel might decide

SELinux - spline.de fileDe nierte Policy wird vom Linux-Kernel durchgesetzt. Einleitung Konzept Refpolicy Praktisch Anwenden Policy { wer darf was wann SELinux policy de niert, wer

Documents

nftables–DerneuePaketﬁlterim Linux-Kernel · nftables–DerneuePaketﬁlterim Linux-Kernel CLT201415.März2014 Michael Steinfurth Linux/Unix Consultant & Trainer B1 Systems GmbH

Text of nftables–DerneuePaketﬁlterim Linux-Kernel · nftables–DerneuePaketﬁlterim Linux-Kernel...