Обновление iptables 1.4.14 и conntrack-tools 1.2

27.05.2012 21:01

Доступно обновление iptables 1.4.14, набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter. В новой версии реализована полная совместимость с Linux-ядром 3.4 и исправлено несколько ошибок. В частности, добавлена поддержка появившейся в ядре 3.4 инфраструктуры cttimeout, позволяющая привязать определённые политики использования таймаутов для потока через действие "CT" в iptables.

Для определения политики применения таймаутов следует использовать новую утилиту nfct, которую можно найти в составе новой версии пакета conntrack-tools. Также подготовлена специальная библиотека libnetfilter_cttimeout, предоставляющая программный интерфейс к инфраструктуре cttimeout. В качестве примера создадим политику custom-tcp-policy и привяжем её к трафику, идущему от IP 1.1.1.1 к IP 2.2.2.2:


   nfct timeout add custom-tcp-policy1 inet tcp established 200
   iptables -I PREROUTING -t raw -s 1.1.1.1 -d 2.2.2.2 -p tcp \\
        -j CT --timeout custom-tcp-policy1

Одновременно представлен релиз инструментария conntrack-tools 1.2.0, содержащего набор средств для управления таблицами установленных соединений (conntrack). Кроме утилиты для выполнения таких задач, как просмотр, отслеживание изменений и модификация содержимого conntrack-таблицы, в состав пакета входит фоновый процесс conntrackd, дающий возможность обеспечить централизованное накопление статистики или организовать синхронизацию conntrack-таблиц между несколькими серверами, что может быть использовано для построения кластеров высокой доступности.

В новой версии conntrack-tools добавлена поддержка синхронизации ожидания (ExpectationSync) для обеспечения согласованного отслеживания соединений для протоколов, использующих отдельные потоки для управления и передачи данных (например, FTP, H.323 и SIP). Вторым значительным улучшением является утилита nfct. В настоящее время утилита nfct поддерживает только управление политиками cttimeout, но в будущем функциональность будет расширена и со временем данная утилита полностью заменит собой программу conntrack.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/33947-iptables

Ключевые слова: iptables, netfilter, linux

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (13)

1.1, Anonymousw (?), 22:41, 27/05/2012 [ответить] [﹢﹢﹢] [ · · · ]

+2 +/–

не успели выпустить как уже для сборки нужен патч :))
conntrack-tools - 1.2.0
___________________________________________
--- ./src/nfct-extensions/timeout.c     2012-05-26 16:53:14.933950376 +0300
+++ ./timeout.c 2012-05-27 21:36:01.000000000 +0300
@@ -96,7 +96,7 @@
                goto err_free;
        }

-       nfct_timeout_snprintf(buf, sizeof(buf), t, 0);
+       nfct_timeout_snprintf(buf, sizeof(buf), t, NFCT_TIMEOUT_O_DEFAULT, 0);
        printf("%s\n", buf);

err_free:
___________________________________________

2.2, Аноним (-), 03:40, 28/05/2012 [^] [^^] [^^^] [ответить]	+/–
Обычная практика у большинства программ.

2.3, arisu (ok), 06:46, 28/05/2012 [^] [^^] [^^^] [ответить]	+1 +/–
это почти что закон природы: как только решаешь, что «пора» и делаешь хотя бы beta-релиз, сразу после него находится дубовый баг.

3.4, Аноним (-), 13:02, 28/05/2012 [^] [^^] [^^^] [ответить]	–2 +/–
Ну да, давайте отсутствие у свободных проектов отдела QA будем объяснять законами природы.

4.5, arisu (ok), 13:08, 28/05/2012 [^] [^^] [^^^] [ответить]

+1 +/–

> Ну да, давайте отсутствие у свободных проектов отдела QA будем объяснять законами
> природы.

что-то "несвободным" проектам наличие этих отделов всё равно никак не помогает.

ты, впрочем, теоретик (это не предположение), тебе видней, как коней в вакууме пасти.

5.7, Аноним (-), 14:25, 28/05/2012 [^] [^^] [^^^] [ответить]	+/–
> ты, впрочем, теоретик (это не предположение), тебе видней, как коней в вакууме пасти. Он необязательно теоретик. Но вот что он проповедник религии "свободное ПО отстой" - это очевидно.

6.8, arisu (ok), 14:27, 28/05/2012 [^] [^^] [^^^] [ответить]	+/–
> Он необязательно теоретик. теоретик-теоретик. иначе просто улыбнулся бы, потому что «#$$#%@#!!1111 во вчерашнем релизе МЕГАБАГ!!!111111» — это таки знакомо всем, кто делал оные релизы; неважно, [F]OSS ли или проприетарщина.

7.9, Аноним (-), 14:31, 28/05/2012 [^] [^^] [^^^] [ответить]	+/–
Не исключено, что про себя и улыбнулся. Но так как данный конкретный случай можно использовать как знамение для проповеди своей религии - он так и сделал.

1.6, Аноним (-), 14:23, 28/05/2012 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Про предыдущий релиз 1.4.13 новости не было, а там, между прочим, добавили критерий rpfilter (раньше его можно было задать только для интерфейсов в целом через sysctl), а еще сделали поддержку IPv6 для критериев ecn и addrtype.

А в следующем релизе conntrack-tools ожидается поддержка юзерспейсных хелперов (сейчас они работают только в ядре). Уже готовы юзерспейсные хелперы для RPC и Oracle TNS. Рулиться это дело будет тоже через nfct.

Да, и еще недавно вышла интересная статья по теме хелперов https://home.regit.org/netfilter-en/secure-use-of-helpers/ Всем админам рекомендуется.

2.13, Аноним (-), 20:36, 28/05/2012 [^] [^^] [^^^] [ответить]	+/–
А еще в 1.4.13 добавили поддержку nfacct, и тогда же выпустили nfacct и libnetfilter_acct. Тоже очень важный момент, совершенно не освещенный в новостях.

1.10, Аноним (-), 15:04, 28/05/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
не ради троллинга, а с целью повышения самообразованности поясните какова практическая ценность данных опций.

2.11, Аноним (-), 15:46, 28/05/2012 [^] [^^] [^^^] [ответить]	+1 +/–
Во-первых, теперь можно независимо задавать настройки conntrack для разных соединений, причем выбор соединений возможен с помощью всех инструментов, доступных в таблице raw (включая ipset). Одно из наиболее очевидных применений - борьба с (D)DoS атаками (для подозрительных источников задаются небольшие таймауты). Также можно сокращать значения таймаутов (и соответственно уменьшать расход ресурсов) на основе информации о топологии сети и задержках (для подсетей с малым временем пинга таймауты можно задавать поменьше). Во-вторых, теперь поддерживается синхронизация ожиданий. Это важно при организации кластерных фаерволов, которые должны пропускать соединения по протоколам, использующим связанные соединения (например, FTP). В частности, если срезу после передачи PASV от клиента на удаленный сервер, активная нода кластера ушла в даун, есть шансы, что сменщик уже будет знать о соединении данных и корректно пропустит его (без синхронизации ожиданий это соединение в такой ситуации было бы заблокировано без вариантов).

3.12, Аноним (-), 18:08, 28/05/2012 [^] [^^] [^^^] [ответить]	+/–
благодарю

Добавить комментарий

Текст: