Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.2.3. nftables チェーンの作成

チェーンは、ルールのコンテナーです。次の 2 つのルールタイプが存在します。
  • ベースチェーン - ネットワークスタックからのパケットのエントリーポイントとしてベースチェーンを使用できます。
  • 通常のチェーン - ジャンプ ターゲットとして通常のチェーンを使用し、ルールをより適切に整理できます。
この手順では、既存のテーブルにベースチェーンを追加する方法を説明します。

前提条件

  • 新しいチェーンを追加するテーブルが存在する。

手順6.5 nftables チェーンの作成

  1. nft add chain コマンドを使用してチェーンを新規作成しますたとえば、example_table に、example_chain という名前のチェーンを作成するには、次のコマンドを実行します。
    # nft add chain inet example_table example_chain '{ type filter hook input priority 0 ; policy accept ; }'
    重要
    シェルで、セミコロンがコマンドの最後として解釈されないようにするには、セミコロンをバックスラッシュでエスケープする必要があります。さらに、一部のシェルは中括弧も解釈するため、中括弧とそれら内のすべてをティック(')で引用符で囲みます。
    このチェーンは、着信パケットをフィルタリングします。priority パラメーターは、nftables プロセスが同じフック値を持つチェーンを処理する順序を指定します。優先度の値が低いほど優先されます。policy パラメーターは、このチェーン内のルールのデフォルトアクションを設定します。サーバーにリモートでログインし、デフォルトのポリシーを drop に設定すると、他のルールでリモートアクセスが許可されていなければ、すぐに切断されることに注意してください。
  2. 必要に応じて、すべてのチェーンを表示します。
    # nft list chains
    table inet example_table {
      chain example_chain {
        type filter hook input priority filter; policy accept;
      }
    }
    

関連情報

  • アドレスファミリーの詳細は、nft(8)man ページの Address families セクションを参照してください
  • チェーンで実行できるその他のアクションの詳細は、nft(8)man ページの Chains セクションを参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。