如何通过终端在 Nftables 中使用定义的变量（不在脚本中）

nft 用户空间命令使用的符号变量仅由该命令解析为它们的值。该nft命令将变量解析为其分配的值以组合最终结果。然后nft命令使用netlink API与内核通信并向它发送新规则以添加。内核从来没有看到lala=1.2.3.4也没有任何符号变量的概念。

因此，如果您将nft命令拆分为两个调用，则会发生以下情况：

• 第一个nft命令定义了一个符号变量供其以后使用。但是什么都不做。它甚至不必与内核通信，因为不需要更改规则集。（实际上它确实进行了通信，但发送“无”，就像使用命令一样nft ''）。在命令结束时，符号的定义丢失，没有被使用。

• 该命令的第二次调用nft需要解析$lala符号，但找不到定义：nft因错误而停止。

所以这必须在一次 nft调用中完成，所以第二个语句仍然知道符号变量。有多种方法可以做到这一点。我在 shell 下面的示例中留下了nft不应输入的提示。

• 交互的nft

  -i, --interactive
  从交互式 readline CLI 读取输入。您可以使用quit退出，或使用 EOF 标记，通常是 CTRL-D。

  # nft -i
  nft> define lala=1.2.3.4
  nft> add rule ip filter input ip saddr $lala accept
  nft> quit
  

• 一次nft调用中的两个命令。

  # nft 'define lala=1.2.3.4; add rule ip filter input ip saddr $lala accept'
  

  请注意所需的额外内容;，因为在此上下文中nft接收一行参数，但应将它们拆分为两个逻辑命令。它也nft有自己的解析器，它不关心命令是作为单个命令参数还是多个单独的参数接收的。在这里，所有内容都包含在一对中，''以避免;和$字符的外壳问题。

• 然后nft可以选择从文件中读取。从文件读取时，所有输入都是同一nft命令上下文的一部分。

  -f, --file filename
  从文件名读取输入。如果文件名是 -，从标准输入读取。

  nft 脚本必须启动#!/usr/sbin/nft -f

  因此，使用名为test.nft具有此内容的文件：

  define lala=1.2.3.4
  add rule ip filter input ip saddr $lala accept
  

  然后可以使用它：

  # nft -f test.nft
  

  下面的变体以“ nftables语言”执行脚本。文件test.nft内容为：

  #!/usr/sbin/nft -f
  define lala=1.2.3.4
  add rule ip filter input ip saddr $lala accept
  

  然后：

  # chmod a+rx test.nft
  # ./test.nft
  

  这也有效：

  # nft -f - <<'EOF'
  > define lala=1.2.3.4
  > add rule ip filter input ip saddr $lala accept
  > EOF
  

对于之前的每个命令，生成的规则集都是相同的（假设表和链是之前创建的）：

# nft list chain ip filter input
table ip filter {
    chain input {
        type filter hook input priority filter; policy accept;
        ip saddr 1.2.3.4 accept
    }
}

将不再有任何$lala留下的痕迹：内核从未收到$lala，但只有1.2.3.4这就是它所返回的。