Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.4. nftables コマンドを使用したセットの使用

nftables フレームワークは、セットをネイティブにサポートします。たとえば、ルールが複数の IP アドレス、ポート番号、インターフェイス、またはその他の一致基準に一致する必要がある場合など、セットを使用できます。

6.4.1. nftables での匿名セットの使用

匿名セットには、ルールで直接使用する { 22, 80, 443 } などの中括弧で囲まれたコンマ区切りの値が含まれます。IP アドレスやその他の一致基準に匿名セットを使用することもできます。
匿名セットの欠点は、セットを変更する場合はルールを置き換える必要があることです。動的なソリューションの場合は、「nftables で名前付きセットの使用」に従って名前付きセットを使用します。

前提条件

  • inet ファミリーに example_chain チェーンと example_table テーブルが存在する。

手順6.13 nftables での匿名セットの使用

  1. たとえば、ポート 2280、および 443 への着信トラフィックを許可するルールを example_tableexample_chain に追加するには、次のコマンドを実行します。
    # nft add rule inet example_table example_chain tcp dport { 22, 80, 443 } accept
  2. 必要に応じて、example_table ですべてのチェーンとそのルールを表示します。
    # nft list table inet example_table
    table inet example_table {
      chain example_chain {
        type filter hook input priority filter; policy accept;
        tcp dport { ssh, http, https } accept
      }
    }
    

6.4.2. nftables で名前付きセットの使用

nftables フレームワークは、変更可能な名前付きセットに対応します。名前付きセットは、テーブル内の複数のルールで使用できる要素の一覧または範囲です。匿名セットに対する別の利点として、セットを使用するルールを置き換えることなく、名前付きセットを更新できます。
名前付きセットを作成する場合は、セットに含まれる要素のタイプを指定する必要があります。以下のタイプを設定できます。
  • 192. 0.2.1 や 192. 0.2.0/24 など、IPv4 アドレスまたは範囲を含むセットの場合は ipv4_addr
  • 2001:db8: 1::1 や 2001:db8: 1::1 / 64 など、IPv6 アドレスまたは範囲を含むセットの場合は ipv6_addr
  • 52:54:00:6b:66: 42 など、メディアアクセス制御(MAC)アドレスの一覧を含むセットの場合は ether_addr
  • tcp など、インターネットプロトコルタイプの一覧を含むセットの場合は inet_proto
  • ssh などのインターネットサービスの一覧を含むセットの場合は inet_service
  • パケット マーク の一覧を含むセットの場合は mark。パケットマークは、任意の正の 32 ビットの整数値にすることができます(0 から 2147483647)。

前提条件

  • example_chain チェーンと example_table テーブルが存在する。

手順6.14 nftables で名前付きセットの使用

  1. 空のファイルを作成します。以下の例では、IPv4 アドレスのセットを作成します。

    1. 複数の IPv4 アドレスを保存できるセットを作成するには、次のコマンドを実行します。
      # nft add set inet example_table example_set { type ipv4_addr \; }
    2. IPv4 アドレス範囲を保存できるセットを作成するには、次のコマンドを実行します。
      # nft add set inet example_table example_set { type ipv4_addr \; flags interval \; }
    重要
    シェルで、セミコロンがコマンドの最後として解釈されないようにするには、セミコロンをバックスラッシュでエスケープする必要があります。
  2. 必要に応じて、セットを使用するルールを作成します。たとえば、次のコマンドは、example_setIPv4 アドレスからのパケットをすべて破棄するルールを example_tableexample_chain に追加します。
    # nft add rule inet example_table example_chain ip saddr @example_set drop
    example_set が空のままなので、ルールには現在影響がありません。
  3. IPv4 アドレスを example_set に追加します。

    1. 個々の IPv4 アドレスを保存するセットを作成する場合は、次のコマンドを実行します。
      # nft add element inet example_table example_set { 192.0.2.1, 192.0.2.2 }
    2. IPv4 範囲を保存するセットを作成する場合は、次のコマンドを実行します。
      # nft add element inet example_table example_set { 192.0.2.0-192.0.2.255 }
    IP アドレス範囲を指定する場合は、上記の例の 192.0.2.0/24 など、CIDR(Classless Inter-Domain Routing)表記を使用することもできます。