Переезд с iptables на nftables?

Question

[akv]

Добрый день.
Стоит задача переехать с iptables на nftables, но не получается переделать правило для блокировки ANY запросов в DNS в iptables оно выглядит так:

iptables -A INPUT -p udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm -j DROP

в nft попробовал сделать так:

ct state new udp dport 53 @th,64,48 0x00FF counter drop

и делая запрос slookup -type=ANY ya.ru он проходит и счетчик в nft по нулям.
Подскажите, кто делал блокировку ANY, как правильно сделать правило.

Comments

[Михаил Р.]

Почему решили переезжать?

[akv]

Более простая структура конфигурации ну и более современное ПО.

[CityCat4]

akv, Хм, а я думал, были какие-то причины...

[pfg21]

CityCat4, от iptables уже отказываются. остается только интерфейс управления для совместимости.
к примеру

$ iptables -V
iptables v1.8.7 (nf_tables)

утилита iptables говорит что работает через nf_tables

[CityCat4]

pfg21, Хм...

# iptables -V
iptables v1.8.9 (legacy)

но флаг nftables для сборки есть и он у меня не установлен... Ладно, будем иметь в виду :)

UPD: Я человек настырный :) Разумеется, я не мог пройти мимо темы "iptables vs nftables" раз уж так пошло - и все-таки доискался сравнения - прямо на сайте ntfables - вот

[pfg21]

CityCat4, ну в общем да. Ибо nftables делают те же люди, что делали и iptables

[Valentin Barbolin]

Мне больше по душе надстройка FERM, кажется что nftable позаимствовал идеологию у них)

[Alexey Dmitriev]

Да давайте уже признаемся все, что никто не переезжает на nftables из-за лени :-) как с ipv6 прямо - что в nftables, что в ipv6 сделали сложную реализацию, чтобы люди хотели переходить без особой причины.
Автору вопроса - респект.

[dodo512]

Там в udp пакете первым идёт имя переменной длины, а искомые тип и класс ресурсной записи это последние 4 байта.
-m string --hex-string "|0000ff0001|"
Тут поиск по всему содержимому пакета поэтому совпадение будет найдено при любом размере сообщения.
В nft Raw Payload Expression так не умеет.
Там можно только фиксированное смещение от начала пакета и указывать нужно в битах.
Для ya.ru размер 31 байт. Последние 4 байта это @th,216,32

meta l4proto udp th dport 53 udp length 31 @th,216,32 0x0000ff0001 counter drop

Тупо под каждый размер сгенерить правила увеличивая length на 1 байт и offset на 8 бит.

meta l4proto udp th dport 53 udp length 32 @th,224,32 0x0000ff0001 counter drop
meta l4proto udp th dport 53 udp length 33 @th,232,32 0x0000ff0001 counter drop

[akv]

dodo512, Огромное спасибо. Все взлетело как нужно!

Answer 1

[Александр Карабанов]

Воспользуйся iptables-nft - у неё такой же синтаксис, как у классической iptables:

iptables-nft -A INPUT -p udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm -j DROP