nftables：更改或创建新表时刷新/删除

Question

somenxavier

Asked: 2023-07-09 22:04:49 +0800 CST2023-07-09 22:04:49 +0800 CST 2023-07-09 22:04:49 +0800 CST

如何避免在 nftables 中插入重复规则

772

在 nftables 中我有这个

table inet my_table {

    chain badips {

        ip saddr 185.165.190.17 counter packets 0 bytes 0 drop

    }
        type filter hook input priority filter; policy drop;
        # Block badips
        counter packets 0 bytes 0 jump badips
}

计划将一长串 IP 放入badips链中。如何只添加唯一的IP？有什么可以避免添加相同IP的吗？

现在我跑

nft add rule inet my_table badips "ip saddr <IP> counter packets 0 bytes 0 drop"

在nft规则中，我看到没有什么nft create rule不同的链。

1 个回答

Voted

larsks · Answer 1 · 2023-07-10T00:02:24+08:00

Best Answer

larsks

2023-07-10T00:02:24+08:002023-07-10T00:02:24+08:00

不要为每个 ip 添加一条规则。只需创建一个规则并使用一组即可。例如：

table inet my_table {
        set badips_v4 {
                type ipv4_addr
        }

        set badips_v6 {
                type ipv6_addr
        }

        chain badips {
                type filter hook input priority filter; policy accept;
                counter ip saddr @badips_v4 drop
                counter ip6 saddr @badips_v6 drop
        }
}

有了这些规则，您可以通过将 IP 添加到适当的集合来阻止它：

nft add element inet my_table badips_v4 { 185.165.190.17 }

如果多次运行该语句，它不会将多个项目添加到set-- aset是唯一项目的集合，因此如果中已存在项目set，则再次添加它是无操作的。

3

如何避免在 nftables 中插入重复规则

模块 i915 可能缺少固件 /lib/firmware/i915/*

无法获取 jessie backports 存储库

如何将 GPG 私钥和公钥导出到文件

我们如何运行存储在变量中的命令？

如何配置 systemd-resolved 和 systemd-networkd 以使用本地 DNS 服务器来解析本地域和远程 DNS 服务器来解析远程域？

dist-upgrade 后 Kali Linux 中的 apt-get update 错误 [重复]

如何从 systemctl 服务日志中查看最新的 x 行

Nano - 跳转到文件末尾

grub 错误：你需要先加载内核

如何下载软件包而不是使用 apt-get 命令安装它？

如何避免在 nftables 中插入重复规则

1 个回答

相关问题