简介

上篇文章已经介绍了数据类型，如INTERGER TYPE、BITMASK TYPE、STRING TYPE、LINK LAYER ADDRESS TYPE、 IPV4 ADDRESS TYPE、 IPV6 ADDRESS TYPE、BOOLEAN TYPE、ICMP TYPE、CONNTRACK TYPES等。那么本篇文章主要介绍PRIMARY表达式的相关内容。

PRIMARY EXPRESSIONS

在防火墙规则配置中，主要表达式（Primary Expressions）是最低阶的表达式，它们代表数据包负载中的常量或单个数据项、元数据，或者来自有状态模块的数据。这些表达式是构建更复杂表达式的基础，用于在防火墙规则、路由决策或数据包处理逻辑中指定具体的条件或值。

META EXPRESSIONS

元数据表达式（Meta Expressions）指的是与数据包相关联的元数据信息。这些元数据包括数据包的来源、目标、接口信息、时间戳、优先级等，对于制定复杂的过滤和路由规则非常有用。元表达式允许防火墙规则基于数据包的元数据来匹配和处理数据包，而不是仅仅基于数据包的内容。

主要表达式和元数据表达式在网络规则制定中具有互补的作用，前者通常用于处理数据包的内容或单个数据，而后者用于描述数据包的元数据信息，帮助用户更准确地定义和处理数据包的行为。

meta {length | nfproto | l4proto | protocol | priority}
[meta] {mark | iif | iifname | iiftype | oif | oifname | oiftype | skuid | skgid | nftrace | rtclassid | ibrname | obrname | pkttype | cpu | iifgroup | oifgroup | cgroup | random | ipsec | iifkind | oifkind | time | hour | day }

类型

• 未限定元数据表达式（Unqualified Meta Expressions）：这些表达式直接使用元数据关键字（如mark, iif等），而不需要前缀meta。然而，在某些上下文中，为了清晰或遵循特定的语法规则，它们也可以被写作限定的形式。
• 限定的元数据表达（Qualified Meta Expressions）：这些表达式在元数据关键字前加上meta前缀，以明确指定它们是对元数据的引用。虽然大多数元数据项可以直接使用，但使用meta前缀可以提高代码的可读性和一致性。

常见的元数据项

• l4proto：用于匹配数据包中的特定传输层协议（如TCP、UDP等）。对于IPv6数据包，它会跳过任何扩展头。
• iif/oif 与 iifname/oifname：这些用于匹配数据包进入或离开的网络接口。iif和oif基于接口索引进行匹配，而iifname和oifname则基于接口名称进行匹配。接口索引在接口被重命名时不会改变，但接口名称可能会改变。因此，在接口名称可能发生变化的情况下（如动态创建的接口），使用接口名称进行匹配可能更为灵活。
• mark, nftrace, rtclassid 等：这些元数据项用于高级的网络处理任务，如数据包标记、跟踪和路由类设置。

动态接口和通配符匹配

• 对于动态创建的接口（如tun/tap接口或拨号接口ppp），使用iifname或oifname进行匹配可能更为合适，因为它们不依赖于接口在系统启动时的存在。
• 在iifname和oifname中，可以使用通配符（如星号*）来匹配接口名称的前缀。但是，请注意，与iptables不同，nftables不接受仅由通配符字符组成的接口名称。如果确实需要匹配字面量的星号字符，可以使用反斜杠\进行转义。

元数据表达式类型

元表达式特定类型

使用举例

# 限定元表达式
filter output meta oif eth0  # 此规则指定输出接口为 "eth0" 的数据包
filter forward meta iifkind { "tun", "veth" } #  此规则表示转发数据包中输入接口种类为 "tun" 或 
"veth" 的数据包将被匹配

# 不限定元表达式
filter output oif eth0 #直接使用了 meta 键指定输出接口为 "eth0" 的数据包

raw prerouting meta ipsec exists accept #这条规则是在原始表（raw table）的 prerouting 链中，
检查数据包是否经过了 IPsec 处理。如果数据包已经经过了 IPsec 加密处理，存在相应的元数据信息，则执
行 accept 操作，即允许数据包继续处理。

Socket expression 

Socket expression 是一种在网络过滤或监控系统中使用的表达式，它允许你根据特定的条件来搜索或匹配已经打开的 TCP/UDP 套接字（socket）及其相关属性。这些属性可能与经过网络接口的数据包相关联。Socket expression 提供了强大的灵活性，用于在网络数据包处理流程中实施复杂的规则或策略。

搜索已打开的套接字

Socket expression 允许你查找已建立（established）或已绑定（bound，但不一定处于监听状态）的套接字。这些套接字可能绑定到特定的 IP 地址和端口上，也可能绑定到非本地（即非 127.0.0.1 或 ::1）地址上。这种能力对于监控特定应用程序的网络活动或实施基于套接字的网络策略非常有用。

匹配套接字属性

除了简单地查找套接字外，Socket expression 还可以用来匹配套接字的特定属性。这些属性可能包括套接字的类型（TCP 或 UDP）、状态（如已建立、监听等）、绑定的 IP 地址和端口等。通过匹配这些属性，你可以更精确地控制哪些数据包应该被允许或拒绝。

cgroupv2 套接字匹配

另一个高级功能是匹配套接字所属的 cgroupv2 层级。cgroupv2（Control Groups version 2）是 Linux 内核中的一种功能，用于限制、记录和隔离进程组所使用的物理资源（如 CPU、内存、网络带宽等）。通过 Socket expression，你可以根据套接字所属的 cgroupv2 层级来匹配数据包。这对于实施基于进程组或容器的网络策略特别有用。

socket {transparent | mark | wildcard}
socket cgroupv2 level NUM

使用举例

# 标记与透明套接字相对应的数据包。"socket wildcard 0"意味着不匹配绑定到通配符地址的监听套接字（这通常是您想要的）。  
table inet x {  
    chain y {  
        type filter hook prerouting priority mangle; policy accept;  
        # 如果数据包对应于一个启用了IP_TRANSPARENT选项的套接字，并且该套接字不是绑定到通配符地址的，  
        # 则将该数据包的标记设置为0x00000001，并接受该数据包。  
        socket transparent 1 socket wildcard 0 mark set 0x00000001 accept  
    }  
}  
  
# 追踪标记值为15的套接字对应的数据包。  
table inet x {  
    chain y {  
        type filter hook prerouting priority mangle; policy accept;  
        # 如果数据包的标记值等于0x0000000f，则设置nftrace标志以进行追踪（这通常需要额外的内核配置或工具来实际捕获追踪信息）。  
        socket mark 0x0000000f nftrace set 1  
    }  
}  
  
# 将数据包的标记设置为套接字的标记。  
table inet x {  
    chain y {  
        type filter hook prerouting priority mangle; policy accept;  
        # 如果数据包的目标端口是8080（TCP），则将数据包的标记设置为与该数据包相关联的套接字的标记。  
        tcp dport 8080 mark set socket mark  
    }  
}  
  
# 对cgroupv2 "user.slice"在层级1上的数据包进行计数。  
table inet x {  
    chain y {  
        type filter hook input priority filter; policy accept;  
        # 对于输入方向的数据包，如果该数据包对应的套接字属于cgroupv2层级1下的"user.slice"，  
        # 则对该数据包进行计数（这通常用于监控和统计特定cgroup的网络活动）。  
        socket cgroupv2 level 1 "user.slice" counter  
    }  
}

osf expression

操作系统指纹（Operating System Fingerprinting），用于识别和确定目标系统的操作系统类型及其版本。这种技术通过分析从目标系统发出的网络数据包中的特定信息来实现。这种技术涉及分析具有 SYN 位设置的数据包中的某些特征，以推断远程主机上运行的操作系统详情。比较通常关注的数据包属性包括窗口大小、最大段大小（MSS）、选项及其顺序、不分片（DF）标志以及其他 TCP/IP 数据包属性。通过检查这些数据包属性，并将它们与已知与各种操作系统相关的模式进行比较，可以了解特定设备上可能运行的操作系统类型，而无需主动从事任何侵入式的扫描或探测活动。

osf [ttl {loose | skip}] {name | version}

osf属性

可用的TTL值检查选项

如果没有传递TTL属性，则会创建一个真实的IP头部，并直接进行TTL值的指纹比对。这种方法通常适用于局域网（LANs）。

• loose（宽松）：检查IP头部的TTL值是否小于指纹中的TTL值。这种方法适用于全局可路由的地址，因为它允许一定的TTL值差异，可能是由于数据包在到达目标之前经过了不同数量的路由器。
• skip（跳过）：完全不进行TTL值的比较。这意味着在操作系统指纹识别过程中，TTL值将不会被用作判断依据。

使用举例

# 在不比较 TTL 的情况下接受与 "Linux" 操作系统类型签名匹配的数据包。
# 如果数据包的操作系统指纹与 "Linux" 匹配，那么这个规则允许通过并执行默认策略（accept）
table inet x {
    chain y {
        type filter hook input priority filter; policy accept;
        osf ttl skip name "Linux"
    }
}

fib expression

FIB（Forwarding Information Base，转发信息库）是路由器用来决定如何转发数据包到目的地的核心数据库。它包含了关于如何基于数据包的目的地地址将其路由到正确的下一跳地址或输出接口的详细信息。

fib {saddr | daddr | mark | iif | oif} [. ...] {oif | oifname | type}

使用举例

# 检查数据包是否有反向路径。它基于源地址和输入接口查找路由信息。如果找不到匹配的路由，输出接口索引将为零，然后将对应的数据包丢弃。
filter prerouting fib saddr . iif oif missing drop
# 在这个示例中，'saddr . iif' 根据源地址和输入接口查找路由信息。
# oif 从路由信息中选择输出接口索引。
# 如果未找到源地址/输入接口组合的路由，则输出接口索引为零。
# 如果将输入接口作为输入键的一部分指定，则输出接口索引始终与输入接口索引相同或为零。
# 如果仅给出 'saddr oif'，那么 oif 可以是任何接口索引或零。

# 对于目的地址不在传入接口上配置的数据包进行处理。如果目的地址不是本地、广播或多播类型，则将这些数据包丢弃。
filter prerouting fib daddr . iif type != { local, broadcast, multicast } drop


#在特定的 'blackhole' 表（0xdead）中执行查找操作，根据目的地址的标记类型来进行不同的操作：blackhole 表示丢弃数据包，prohibit 表示跳转到受限制操作，unreachable 表示丢弃数据包。
filter prerouting meta mark set 0xdead fib daddr . mark type vmap { blackhole : drop, prohibit : jump prohibited, unreachable : drop }

 routing expression

路由表达式是指与数据包相关联的路由数据。

rt [ip | ip6] {classid | nexthop | mtu | ipsec}

路由表达式类型

ipsec expression

ipsec {in | out} [ spnum NUM ]  {reqid | spi}
ipsec {in | out} [ spnum NUM ]  {ip | ip6} {saddr | daddr}

Ipsec expression types

numgen expression 

numgen 表达式用于创建一个数字生成器，其操作模式由 inc（递增）或 random（随机）关键字控制。这个表达式在需要动态生成一系列数字时非常有用，特别是在编程、脚本编写、或任何需要自动化数值处理的场景中。

numgen {inc | random} mod NUM [ offset NUM ]

numgen：这是启动数字生成器的关键字。
{inc | random}：这指定了生成器的操作模式。inc 表示递增模式，其中生成的每个数字都是前一个数字的递增值；random 表示随机模式，其中每次生成的数字都是随机的。
mod NUM：这指定了一个上限（模数），生成的数字不会超过这个值。模数（NUM）用于确保生成的数字在一个指定的范围内。
[offset NUM]：这是一个可选参数，允许你为生成的数字添加一个固定的偏移量。这意味着每个生成的数字都会先按照 inc 或 random 模式计算，然后再加上这个偏移量。

使用举例

add rule nat prerouting dnat to numgen inc mod 2 map \
        { 0 : 192.168.10.100, 1 : 192.168.20.200 }
目的：这个规则的目的是在192.168.10.100和192.168.20.200这两个IP地址之间实现轮询（Round-Robin）负载均衡。
机制：通过numgen inc mod 2，每次请求都会生成一个递增的数字（从0开始），然后这个数字对2取模，结果只能是0或1。根据这个结果，请求会被重定向到map中指定的IP地址。
映射：如果生成的数字是0，则请求被重定向到192.168.10.100；如果是1，则重定向到192.168.20.200。由于数字是递增的，并且每次都对2取模，因此这实现了在两个IP地址之间的交替选择，即轮询。

add rule nat prerouting dnat to numgen random mod 10 map \
        { 0-2 : 192.168.10.100, 3-9 : 192.168.20.200 }
目的：这个规则的目的是根据概率将请求分配到两个IP地址，但带有一定的偏置，使得192.168.20.200接收的请求更多。
机制：通过numgen random mod 10，每次请求都会生成一个0到9之间的随机数字。然后，这个数字被用来在map中查找对应的IP地址。
映射：如果生成的数字在0到2之间（包含0和2），则请求被重定向到192.168.10.100；如果数字在3到9之间（包含3和9），则请求被重定向到192.168.20.200。由于3到9的范围比0到2的范围大，因此192.168.20.200接收的请求数量大约是192.168.10.100的三倍（8/3 ≈ 2.67，但实际上由于随机性，比例可能略有不同）。

hash expressions

jhash（通常称为Jenkins Hash）和symhash（对称哈希）是两种常用的哈希函数，用于生成一个数字，该数字可以作为决策的依据，比如决定将数据包发送到哪个服务器。这些哈希函数通过特定的算法处理输入数据（如数据包头部信息），并输出一个固定范围的数值。

Jenkins Hash（jhash）

特点：

• 灵活性：jhash允许你通过表达式指定数据包头部中哪些参数用于哈希计算，甚至可以进行拼接（concatenation）来创建更复杂的输入。
• 参数：
  • 输入数据：这是你想要哈希的数据，可能是数据包头部的字段拼接而成的字符串。
  • 模数（modulus）：通过mod关键字指定的一个上限值，确保哈希函数返回的数字不会超过这个值。这对于确保负载均衡的均匀分布非常关键。
  • 种子（seed）（可选）：一个初始值，用于哈希函数的计算中。不同的种子值会导致相同的输入数据产生不同的哈希值，这有助于在分布式系统中避免哈希碰撞。
  • 偏移量（offset）（可选）：允许你将返回的哈希值增加一个固定的偏移量，这在某些特定场景下可能有用。

应用场景：

• 在负载均衡器中，jhash可以用来根据数据包的某些特征（如源IP、目的IP、端口号等）计算出一个哈希值，然后根据这个哈希值决定将数据包转发到哪个后端服务器。

对称哈希（symhash）

特点：

• 对称性：尽管symhash的确切特性可能因实现而异，但“对称”一词通常意味着该哈希函数在某些方面是对称的，比如输入数据的微小变化可能导致哈希值在数值空间中的相对位置发生对称变化。然而，这只是一个概念性的解释，具体实现可能有所不同。
• 参数：与jhash类似，symhash也可能需要输入数据、模数、种子和偏移量等参数。

应用场景：

• 与jhash相似，symhash也可以用于负载均衡中，通过哈希数据包的特征来决定其路由。不过，由于symhash的具体实现和特性可能因环境而异，因此其在实际应用中的表现也可能有所不同。

举例使用

#对于所有进入网络的数据包，系统会根据数据包的源IP地址（ip saddr）使用jhash来计算一个哈希值。然后，这个哈希值会被mod 2操作，结果是0或1。根据这个结果，数据包的目的地址（DNAT）会被重定向到两个IP地址之一：
如果哈希值mod 2的结果是0，数据包的目的地址将被更改为192.168.10.100。
如果哈希值mod 2的结果是1，数据包的目的地址将被更改为192.168.20.200。
add rule nat prerouting dnat to jhash ip saddr mod 2 map \
        { 0 : 192.168.10.100, 1 : 192.168.20.200 }

# 使用 symhash 函数，根据对称性哈希算法，在两个指定的 IP 地址（192.168.10.100 和 192.168.20.200）之间进行负载均衡。
对称哈希函数考虑更多的对称性和平衡性，以确保流量被均匀地分配到这两个 IP 地址上，从而实现对称性负载均衡。
add rule nat prerouting dnat to symhash mod 2 map \
        { 0 : 192.168.10.100, 1 : 192.168.20.200 }