主页 / unix / 问题 / 517205
Accepted
gertvdijk
Asked: 2019-05-06 03:01:50 +0800 CST

如何在 nftables 中按名称创建一组命名接口?

  • 772

在nftables中使用集合真的很酷。我目前在我的nftables.conf规则集中使用了很多这样的语句:

iifname {clients0, dockernet} oifname wan0 accept \
    comment "Allow clients and Docker containers to reach the internet"

在上面的规则{clients0, dockernet}中是一组匿名(内联)接口。我不想一遍又一遍地重复规则,我想在文件顶部定义一组接口,在 nftables 中称为命名集。手册页 (Debian Buster)显示了如何为几种类型的集合执行此操作:ipv4_addripv6_addrether_addrinet_protoinet_servicemark。但是,它似乎不适用于按名称或简单的原始类型(如字符串)的接口。

我有下面的方法,但这不适用于给出的错误:

  1. 省略类型:

    table inet filter {
  set myset {
    elements = {
      clients0,
      dockernet,           
    }
  }
  [...]
}

    结果:Error: set definition does not specify key

  2. 使用string类型:

    table inet filter {
  type string;
  set myset {
    elements = {
      clients0,
      dockernet,           
    }
  }
  [...]
}

    结果:Error: unqualified key type string specified in set definition

真的没有办法命名我在顶部显示的匿名集吗?

nftables

2 个回答

  1. Best Answer

    通过在源代码中搜索 0.9.0 版本

    static const struct datatype *datatypes[TYPE_MAX + 1] = {

    [...]

      [TYPE_IFINDEX]      = &ifindex_type,

    [...]

      [TYPE_IFNAME]       = &ifname_type,
};

    然后寻找它们 定义位置:

    const struct datatype ifindex_type = {
  .type       = TYPE_IFINDEX,
  .name       = "iface_index",
  .desc       = "network interface index",

    [...]

    const struct datatype ifname_type = {
  .type       = TYPE_IFNAME,
  .name       = "ifname",
  .desc       = "network interface name",

    有可能发现所需的类型是iface_index(例如:)iif loifname(例如iifname "lo"),即使(在撰写此答案时)它nft的手册页中没有记录。

    nft add set inet filter if-index-set '{ type iface_index;  }'
nft add set inet filter if-name-set '{ type ifname;  }'

nft add element inet filter if-index-set '{ lo }'
nft add element inet filter if-name-set '{ lo }'

nft add chain inet filter input '{ type filter hook input priority 0; }'
nft add rule inet filter input iif @if-index-set counter
nft add rule inet filter input iifname @if-name-set counter

    请注意,集合中的 ifname 通配符支持已在nftables 1.0.3中的 2022-05-31 添加。必须使用命名集flags intervals,并且最后的通配符是*+不像在iptables中那样)。

    • 3

  2. 可以使用以下方法轻松找到元素数据类型nft

    $ nft describe iifname    
meta expression, datatype ifname (network interface name) (basetype string), 16 characters
% nft describe iif    
meta expression, datatype iface_index (network interface index) (basetype integer), 32 bits

    你看到了,ifname并且iface_index是可能的类型,所以你可以声明

     set myset {
    type ifname
    elements = {
       "clients0",  
       "dockernet"  
    }       
 }

    在上面的例子中,如果你不知道类型,你甚至可以写typeof iifname代替(需要v0.9.4 或更高版本)。type ifnamenft

    • 3

相关问题