Red Hat Training

A Red Hat training course is available for RHEL 8

45.5. Uso de conjuntos en los comandos de nftables

El marco de trabajo nftables admite de forma nativa los conjuntos. Puedes utilizar conjuntos, por ejemplo, si una regla debe coincidir con varias direcciones IP, números de puerto, interfaces o cualquier otro criterio de coincidencia.

45.5.1. Uso de conjuntos anónimos en nftables

Un conjunto anónimo contiene valores separados por comas y encerrados entre corchetes, como { 22, 80, 443 }, que se utilizan directamente en una regla. También puede utilizar conjuntos anónimos para direcciones IP o cualquier otro criterio de coincidencia.

El inconveniente de los conjuntos anónimos es que si se quiere cambiar el conjunto, hay que sustituir la regla. Para una solución dinámica, utilice conjuntos con nombre como se describe en Sección 45.5.2, “Uso de conjuntos con nombre en nftables”.

Requisitos previos

  • Existe la cadena example_chain y la tabla example_table en la familia inet.

Procedimiento

  1. Por ejemplo, para añadir una regla a example_chain en example_table que permita el tráfico entrante al puerto 22, 80 y 443:

    # nft add rule inet example_table example_chain tcp dport { 22, 80, 443 } accept
  2. Opcionalmente, mostrar todas las cadenas y sus reglas en example_table:

    # nft list table inet example_table
    table inet example_table {
      chain example_chain {
        type filter hook input priority filter; policy accept;
        tcp dport { ssh, http, https } accept
      }
    }