如何在 nftables 中刷新设置元素超时？

虽然记录了原子规则替换：

原子规则替换

您可以使用该-f选项自动更新您的规则集：

% nft -f file

它没有明确记录元素替换，但这实际上只是规则替换的一种情况。可以在引入的单个原子事务中删除和添加元素-f：这将用新条目及其更新的过期时间替换旧条目，而不会暂时丢失元素。

因此，不要执行以下操作，这不是原子的，因为在两次调用之间nft，元素将暂时不存在，并且取决于此集合的规则将暂时不匹配：

# nft delete element ip mytable myset '{ 10.10.10.1 }'
# nft add element ip mytable myset '{ 10.10.10.1 timeout 60s expires 60s }'

这应该使用-f输入文件（-代表标准输入算作有效输入文件）来完成：

# nft -f - <<'EOF'
delete element ip mytable myset { 10.10.10.1 }
add element ip mytable myset { 10.10.10.1 timeout 60s }
EOF

元素永远不会停止存在，因为它是原子变化。

与此nft构造一样，如果想要幂等地执行此操作，而不必知道元素是否已经存在，并且不触及其他元素，则应该添加、删除和重新添加它，因为在添加现有元素时不会t 一个错误，删除一个缺失的元素将是一个错误：

# nft -f - <<'EOF'
add element ip mytable myset { 10.10.10.1 }
delete element ip mytable myset { 10.10.10.1 }
add element ip mytable myset { 10.10.10.1 timeout 60s }
EOF

它仍然是一个单一的原子事务。

补充说明

• 从数据包路径

  从数据包路径执行此操作时，两者之间存在区别，add @myset仅在创建新元素时设置超时，但不会更新现有元素的超时，允许它稍后在其整个持续时间内超时，并且update @myset确实设置在所有情况下超时。

• 原子规则更新不仅限于元素，还可以在任何级别使用

  例如，如果需要关注单个元素，则可以在集合级别执行相同的操作：

  # nft -f - <<'EOF'
  add set ip mytable myset { type ipv4_addr; flags timeout; }
  delete set ip mytable myset
  add set ip mytable myset {
      type ipv4_addr
      flags timeout
      elements = { 127.0.0.1 timeout 1m }
  }
  EOF
  

  实际上，上面的示例可能会失败，因为可能存在引用该集合的规则，因此即使在事务期间也不允许将其删除（可以用add table ip mytable, delete table ip mytable,类似地重写整个表add table ip mytable { ...）。如果已知该集合之前存在，则在添加回单个元素之前刷新它就足够了：

  # nft -f - <<'EOF'
  flush set ip mytable myset
  add element ip mytable myset { 127.0.0.1 timeout 1m }
  EOF
  

当然，可以使用实际文件代替- <<'EOF'... EOF。