Início / unix / Perguntas / 774201
Accepted
metablaster
Asked: 2024-04-10 02:16:05 +0800 CST

Declare e use um conjunto nomeado de tipos ICMP em nftables

  • 772

Aqui está um exemplo prático de como atualmente uso um unamed settipo de ICMP:

#!/usr/sbin/nft -f

add table filter_4

add chain filter_4 icmp_out_4 {
    comment "Output ICMPv4 traffic"
}

define response_icmp_4 = {
    0, # Echo Reply
    3, # Destination Unreachable
    10, # Router Solicitation
    11, # Time Exceeded
    12, # Parameter Problem
    14 # Timestamp Reply
}

# Block ICMP response from localhost
add rule filter_4 icmp_out_4 icmp type $response_icmp_4 drop

O que eu quero fazer é converter isso unamed setchamado response_icmp_4em um conjunto nomeado.
Aqui está minha tentativa frustrada de fazer isso:

# Declare named set
add set filter_4 response_icmp_4 { type inet_service }

# Add ICMP type elements
add element filter_4 response_icmp_4 {
    0, # Echo Reply
    3, # Destination Unreachable
    10, # Router Solicitation
    11, # Time Exceeded
    12, # Parameter Problem
    14 # Timestamp Reply
}

A criação do conjunto funciona, mas é recusada durante o processamento da regra:

# Block ICMP response from localhost
add rule filter_4 icmp_out_4 icmp type @response_icmp_4 drop

Com a seguinte saída de erro:

Erro: incompatibilidade de tipo de dados, tipo ICMP esperado, expressão tem tipo serviço de rede de internet

O erro é autoexplicativo, mas a questão é: o que typedevo especificar? porque type inet_servicenão funciona.

De acordo com os documentos, as expressões válidas typesãoipv4_addr, ipv6_addr, ether_addr, inet_proto, inet_service, mark

Também é possível especificar typeofa derivação automática do tipo de dados, mas isso não funciona tão bem, por exemplo:

add set filter_4 response_icmp_4 { typeof vlan id }

Quais erros com erro semelhante:

Erro: incompatibilidade de tipo de dados, tipo ICMP esperado, expressão tem tipo inteiro

O que é um erro estranho porque ICMP typeÉ um número inteiro.

Se você também puder criar um link para a documentação explicando isso, isso seria útil porque não consigo encontrá-lo.

nftables

1 respostas

  1. Best Answer

    A declaração do conjunto nomeado deve corresponder ao tipo com o qual compará-la. Um tipo ICMP não é um serviço inet:

    # nft describe inet_service
datatype inet_service (internet network service) (basetype integer), 16 bits

    o que significa uma porta. Compatível, por exemplo, com:

    # nft describe udp dport
payload expression, datatype inet_service (internet network service) (basetype integer), 16 bits

    Portanto, ao adicionar a regra, o nftables reclama:

    Error: datatype mismatch, expected ICMP type, expression has type internet network service

    Quanto a descobrir o tipo de ICMP, a partir da regra (payload expression/typeof) icmp type:

    # nft describe icmp type
payload expression, datatype icmp_type (ICMP type) (basetype integer), 8 bits

pre-defined symbolic constants (in decimal):
    echo-reply                                         0
    destination-unreachable                            3
[...]

    levando a (tipo de dados/tipo) icmp_type:

    # nft describe icmp_type
datatype icmp_type (ICMP type) (basetype integer), 8 bits

pre-defined symbolic constants (in decimal):
    echo-reply                                         0
    destination-unreachable                            3
[...]

    Esse:

    add set filter_4 response_icmp_4 { type inet_service }

    deve ser substituído por:

    add set filter_4 response_icmp_4 { type icmp_type; }

    ou, em vez de typeusar typeof(que geralmente corresponde ao que é usado no conjunto de regras, é mais fácil de descobrir e que também pode ser usado diretamente como acima para nft describedescobrir o equivalente type):

    add set filter_4 response_icmp_4 { typeof icmp type; }
    • 1

relate perguntas