Chains

В нашей реализации структуры мы вводим для INPUT и OUTPUT понятие 2-х цепочек. Первая цепочка является точкой входа для пакетов из сетевого стека, в ней указывается хук (input, prerouting, postrouting) и приоритет выполнения, так же эта цепочка используется для маршрутизации в последующие цепочки по принадлежности к той или иной Security Group. Вторая цепочка содержит наборы правил, относящиеся только к конкретной Security Group.

Наименование цепочки	Тип	Описание
INGRESS-INPUT	Ingress	Первая цепочка является точкой входа для пакетов из сетевого стека, в ней указывается хук (input) и приоритет выполнения 0 (filter). Так же используется для маршрутизации в последующие цепочки по принадлежности к той или иной Security Group.
INGRESS-INPUT-$sgName	Ingress	Вторая цепочка содержит наборы правил, относящиеся только к конкретной Security Group.
EGRESS-POSTROUTING	Egress	Первая цепочка является точкой входа для пакетов из сетевого стека, в ней указывается хук (postrouting) и приоритет выполнения 300. Так же используется для маршрутизации в последующие цепочки по принадлежности к той или иной Security Group.
EGRESS-POSTROUTING-$sgName	Egress	Вторая цепочка содержит наборы правил, относящиеся только к конкретной Security Group.

INGRESS-INPUT
EGRESS-POSTROUTING

Описание

Правило перехода в цепочку INGRESS-INPUT-sgName с проверкой что трафик является входящим и предназначен для указанной Security Group.

Параметры

Шаблон параметра	Структура параметра	Значение	Описание
$ConntrackState	`ct state`	`established,related`	Оптеделяет правило для обработки пакетов, удовлетворяющих условиям установленного и связанного состояния соединения.
$CtVerdict		`accept`	$CtVerdict - указывает на принятие (accept) пакетов по указанным условиям. Подробнее: Verdict statement
$BaseRules			Base Rules - набор правил, которые прописываются статично из конфиграционнного файла агента для того что бы всегда был доступ до высококритичных сервисов таких как HBF и DNS. Подробнее: Config Base Rules
$RuleType	`ip`		Указатель на трафик типа IP
$DstSgroup	`daddr`	`@${IPSet({sgName})}`	Значение типа string, не должно содержать в себе пробелов
$sgName			Название Security Group
$Counter	`counter`	`packets 0 bytes 0`	Счетчик, учитывает количество пройденных пакетов с количеством байтов переданной информации в рамках указанной цепочки правил
$PolicyVerdict	`policy`	`drop`	Policy $Verdict устанавливается для цепочек с целью установки базового правила, которое будет применено к пакету если установленное правило не удовлетворили условия. По умолчанию drop. Подробнее: Verdict statement
$Verdict		`goto`	Так как данное правило используется для проверки типа трафика то переход на другую цепочку правил происходит только с помощью goto. Подробнее: Verdict statement
$Hook	`hook`	input	Приоритет выполнения цепочки характеризующий стадию прохождения трафика
$HookPriority	`priority`	0	Приоритет выполнения цепочки одного типа

Шаблон

chain INGRESS-INPUT {
    type filter $Hook $HookPriority; $PolicyVerdict;
    $ConntrackState $Counter $CtVerdict
    $BaseRules
    # **********
    $RuleType $DstSgroup $Counter $Verdict INGRESS-INPUT-$sgName
    # **********
    $Counter
}

Пример использования

chain INGRESS-INPUT {
    type filter hook input priority 0; policy drop;
    ct state established,related counter packets 0 bytes 0 accept
    ip saddr { 1.1.1.1, 2.2.2.2} accept
    # **********
    ip daddr @NetIPv4-exampleSG counter packets   0 bytes 0 goto INGRESS-INPUT-exampleSG
    # **********
    counter packets 0 bytes 0
}

table inet main-1705582480 {

    chain INGRESS-INPUT {
        type filter hook input priority filter; policy drop;
        ct state established,related counter packets 0 bytes 0 accept
        ip saddr { 1.1.1.1, 2.2.2.2} accept
        # ******
        ip daddr @NetIPv4-no-routed counter packets   0 bytes 0 goto INGRESS-INPUT-no-routed
        ip daddr @NetIPv4-exampleSG counter packets   0 bytes 0 goto INGRESS-INPUT-exampleSG
        counter packets 0 bytes 0
    }

    chain INGRESS-INPUT-no-routed {
        # ******
        counter packets 0 bytes 0 accept
    }

    chain INGRESS-INPUT-exampleSG {
        # ******
        counter packets 0 bytes 0 accept
    }

}

Описание

Правило перехода в цепочку EGRESS-POSTROUTING-$sgName с проверкой что трафик является исходящим и предназначен для указанной Security Group.

Параметры

Шаблон параметра	Структура параметра	Значение	Описание
$ConntrackState	`ct state`	`established,related`	Оптеделяет правило для обработки пакетов, удовлетворяющих условиям установленного и связанного состояния соединения.
$CtVerdict		`accept`	$CtVerdict - указывает на принятие (accept) пакетов по указанным условиям. Подробнее: Verdict statement
$BaseRules			Base Rules - набор правил, которые прописываются статично из конфиграционнного файла агента для того что бы всегда был доступ до высококритичных сервисов таких как HBF и DNS. Подробнее: Config Base Rules
$RuleType	`ip`		Указатель на трафик типа IP
$SrcSgroup	`saddr`	`@${IPSet({sgName})}`	Значение типа string, не должно содержать в себе пробелов
$sgName			Название Security Group
$Counter	`counter`	`packets 0 bytes 0`	Счетчик, учитывает количество пройденных пакетов с количеством байтов переданной информации в рамках указанной цепочки правил
$PolicyVerdict	`policy`	`drop`	Policy $Verdict устанавливается для цепочек с целью установки базового правила, которое будет применено к пакету если установленное правило не удовлетворили условия. По умолчанию drop. Подробнее: Verdict statement
$Verdict		`goto`	Так как данное правило используется для проверки типа трафика то переход на другую цепочку правил происходит только с помощью goto. Подробнее: Verdict statement
$Hook	`hook`	input	Приоритет выполнения цепочки характерезующий стадию прохождения трафика
$HookPriority	`priority`	0	Приоритет выполнения цепочки одного типа

Шаблон

chain EGRESS-POSTROUTING {
    type filter $Hook $HookPriority; $PolicyVerdict;
    $ConntrackState $Counter $CtVerdict
    $BaseRules
    # **********
    $RuleType $SrcSgroup $Counter $Verdict EGRESS-POSTROUTING-$sgName
    # **********
    $Counter
}

Пример использования

chain EGRESS-POSTROUTING {
    type filter hook postrouting priority 300; policy drop;
    ct state established,related counter packets 0 bytes 0 accept
    ip daddr { 1.1.1.1, 2.2.2.2} accept
    # **********
    ip saddr @NetIPv4-exampleSG counter packets 0 bytes 0 goto EGRESS-POSTROUTING-exampleSG
    # **********
    counter packets 0 bytes 0
}

table inet main-1705582480 {

  chain EGRESS-POSTROUTING {
      type filter hook postrouting priority 300; policy drop;
      ct state established,related counter packets 0 bytes 0 accept
      ip daddr { 1.1.1.1, 2.2.2.2} accept
      # **********
      ip saddr @NetIPv4-exampleSG counter packets 0 bytes 0 goto EGRESS-POSTROUTING-exampleSG
      ip saddr @NetIPv4-no-routed counter packets 0 bytes 0 goto EGRESS-POSTROUTING-no-routed
      counter packets 0 bytes 0
  }

  chain EGRESS-POSTROUTING-no-routed {
      # ******
      counter packets 0 bytes 0 accept
  }

  chain EGRESS-POSTROUTING-exampleSG {
      # ******
      counter packets 0 bytes 0 accept
  }

Chains

Описание​

Параметры​

Шаблон​

Пример использования​

Описание​

Параметры​

Шаблон​

Пример использования​

Описание

Параметры

Шаблон

Пример использования

Описание

Параметры

Шаблон

Пример использования