Como usar variáveis ​​definidas em Nftables através do terminal (não no script)

Variáveis ​​simbólicas em uso pelo comando nft userspace são resolvidas em seus valores apenas por este comando. O nftcomando resolve a variável em seu valor atribuído para montar o resultado final. Em seguida, os nftcomandos usam a API netlink para se comunicar com o kernel e enviar uma nova regra para adicionar. O kernel nunca vê lala=1.2.3.4nem tem nenhum conceito de variável simbólica.

Então, se você dividir seu nftcomando em duas invocações, o que acontece é:

• O primeiro nftcomando define uma variável simbólica para seu próprio uso posterior. Mas não faz mais nada. Ele nem precisa se comunicar com o kernel, pois nenhuma alteração no conjunto de regras é solicitada. (Na verdade ele se comunica, mas para enviar "nada", como no comando nft ''). Ao final do comando perde-se a definição do símbolo, sem ter sido utilizado.

• Uma segunda invocação do nftcomando precisa resolver o $lalasímbolo, mas não consegue encontrar uma definição: nftpára com um erro.

Portanto, tudo isso deve ser feito em uma nft invocação para que a segunda instrução ainda saiba sobre a variável simbólica. Existem várias maneiras de fazer isso. Deixei os exemplos abaixo nftdos prompts do shell e do 's que não devem ser digitados.

• interativonft

  -i, --interactive
  Leia a entrada de uma CLI de linha de leitura interativa. Você pode usar quitpara sair ou usar o marcador EOF, normalmente é CTRL-D.

  # nft -i
  nft> define lala=1.2.3.4
  nft> add rule ip filter input ip saddr $lala accept
  nft> quit
  

• dois comandos em uma única nftinvocação.

  # nft 'define lala=1.2.3.4; add rule ip filter input ip saddr $lala accept'
  

  Observe o adicional ;necessário, pois neste contexto nftrecebe uma linha de parâmetros, mas eles devem ser divididos em dois comandos lógicos. Também nfttendo seu próprio analisador, não importa se os comandos são recebidos como um único parâmetro de comando ou vários parâmetros separados. Aqui tudo foi colocado em um par de ''para evitar problemas de shell com ambos ;e $caracteres.

• Em seguida nft, tem uma opção para ler a partir de um arquivo. Ao ler de um arquivo, todas as entradas fazem parte do mesmo nftcontexto de comando.

  -f, --file filename
  Leia a entrada do nome do arquivo. Se o nome do arquivo for -, leia de stdin.

  scripts nft devem ser iniciados#!/usr/sbin/nft -f

  Então, com um arquivo chamado test.nftcom este conteúdo:

  define lala=1.2.3.4
  add rule ip filter input ip saddr $lala accept
  

  Isso pode então ser usado:

  # nft -f test.nft
  

  A variante abaixo executa um script na " linguagem nftables ". Ter um test.nftconteúdo de arquivo como:

  #!/usr/sbin/nft -f
  define lala=1.2.3.4
  add rule ip filter input ip saddr $lala accept
  

  Então:

  # chmod a+rx test.nft
  # ./test.nft
  

  Isso também teria funcionado:

  # nft -f - <<'EOF'
  > define lala=1.2.3.4
  > add rule ip filter input ip saddr $lala accept
  > EOF
  

Para cada comando anterior, o conjunto de regras resultante é o mesmo (assumindo que a tabela e a cadeia foram criadas antes):

# nft list chain ip filter input
table ip filter {
    chain input {
        type filter hook input priority filter; policy accept;
        ip saddr 1.2.3.4 accept
    }
}

Não haverá mais nenhum vestígio de $lalaesquerda: o kernel nunca recebeu, $lalamas apenas 1.2.3.4e é isso que ele devolve.