Início / unix / Perguntas / 517205
Accepted
gertvdijk
Asked: 2019-05-06 03:01:50 +0800 CST

Como crio um conjunto nomeado de interfaces por nome em nftables?

  • 772

Usar sets em nftables é muito legal. Atualmente, estou usando muitas instruções como estas em meus conjuntos de nftables.confregras:

iifname {clients0, dockernet} oifname wan0 accept \
    comment "Allow clients and Docker containers to reach the internet"

Na regra acima {clients0, dockernet}está um conjunto anônimo (inline) de interfaces. Em vez de repetir as regras repetidamente, gostaria de definir um conjunto de interfaces na parte superior do arquivo, chamado de conjunto nomeado em nftables. A página de manual (Debian Buster) mostra como fazer isso para vários tipos de conjuntos: ipv4_addr , ipv6_addr , ether_addr , inet_proto , inet_service e mark . No entanto, parece que não está disponível para interfaces por nome ou tipo primitivo simples, como strings.

Eu tenho a abordagem abaixo, mas isso não funciona com os erros fornecidos:

  1. Omitindo o tipo:

    table inet filter {
  set myset {
    elements = {
      clients0,
      dockernet,           
    }
  }
  [...]
}

    Resultado: Error: set definition does not specify key.

  2. Usando o stringtipo:

    table inet filter {
  type string;
  set myset {
    elements = {
      clients0,
      dockernet,           
    }
  }
  [...]
}

    Resultado: Error: unqualified key type string specified in set definition.

Não há realmente nenhuma maneira de nomear o conjunto anônimo que mostrei no topo?

nftables

2 respostas

  1. Best Answer

    Procurando na fonte pela versão 0.9.0 :

    static const struct datatype *datatypes[TYPE_MAX + 1] = {

    [...]

      [TYPE_IFINDEX]      = &ifindex_type,

    [...]

      [TYPE_IFNAME]       = &ifname_type,
};

    e, em seguida, procurando onde eles estão definidos :

    const struct datatype ifindex_type = {
  .type       = TYPE_IFINDEX,
  .name       = "iface_index",
  .desc       = "network interface index",

    [...]

    const struct datatype ifname_type = {
  .type       = TYPE_IFNAME,
  .name       = "ifname",
  .desc       = "network interface name",

    é possível descobrir que os tipos necessários são iface_index(por exemplo: iif lo) e ifname(por exemplo iifname "lo"), mesmo que (no momento de escrever esta resposta) não esteja documentado na nftpágina man do .

    nft add set inet filter if-index-set '{ type iface_index;  }'
nft add set inet filter if-name-set '{ type ifname;  }'

nft add element inet filter if-index-set '{ lo }'
nft add element inet filter if-name-set '{ lo }'

nft add chain inet filter input '{ type filter hook input priority 0; }'
nft add rule inet filter input iif @if-index-set counter
nft add rule inet filter input iifname @if-name-set counter

    Observe que o suporte a curingas ifname em um conjunto foi adicionado em 2022-05-31 em nftables 1.0.3 . Um conjunto nomeado deve ser usado flags intervalse o caractere curinga final é *(não +como em iptables ).

    • 3

  2. O tipo de dados do elemento pode ser facilmente encontrado usando nftassim:

    $ nft describe iifname    
meta expression, datatype ifname (network interface name) (basetype string), 16 characters
% nft describe iif    
meta expression, datatype iface_index (network interface index) (basetype integer), 32 bits

    Você vê isso ifnamee iface_indexsão os tipos possíveis, então você pode apenas declarar :

     set myset {
    type ifname
    elements = {
       "clients0",  
       "dockernet"  
    }       
 }

    No exemplo acima, você pode até escrever typeof iifnameem vez de type ifnamese não souber sobre o tipo (requer nftv0.9.4 ou superior).

    • 3

relate perguntas