Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.4. nftables コマンドを使用したセットの使用

nftables フレームワークは、セットをネイティブに対応します。たとえば、ルールが複数の IP アドレス、ポート番号、インターフェース、またはその他の一致基準に一致する必要がある場合など、セットを使用できます。

6.4.1. nftables での匿名セットの使用

匿名セットには、ルールで直接使用する { 22, 80, 443 } などの中括弧で囲まれたコンマ区切りの値が含まれます。IP アドレスやその他の一致基準に匿名セットを使用することもできます。
匿名セットの欠点は、セットを変更する場合はルールを置き換える必要があることです。動的なソリューションの場合は、「nftables で名前付きセットの使用」 に従って名前付きセットを使用します。

前提条件

  • inet ファミリーに example_chain チェーンと example_table テーブルが存在する。

手順6.13 nftables での匿名セットの使用

  1. たとえば、ポート 22、80、および 443 に着信トラフィックを許可するルールを、example_table の example_ chain に追加するには、次のコマンドを実行します
    # nft add rule inet example_table example_chain tcp dport { 22, 80, 443 } accept
  2. 必要に応じて、example_table ですべてのチェーンとそのルールを表示します。
    # nft list table inet example_table
    table inet example_table {
      chain example_chain {
        type filter hook input priority filter; policy accept;
        tcp dport { ssh, http, https } accept
      }
    }
    

このページには機械翻訳が使用されている場合があります (詳細はこちら)。