Menu Close
Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
6.4. nftables コマンドを使用したセットの使用
nftables
フレームワークは、セットをネイティブに対応します。たとえば、ルールが複数の IP アドレス、ポート番号、インターフェース、またはその他の一致基準に一致する必要がある場合など、セットを使用できます。
6.4.1. nftables での匿名セットの使用
匿名セットには、ルールで直接使用する
{ 22, 80, 443 }
などの中括弧で囲まれたコンマ区切りの値が含まれます。IP アドレスやその他の一致基準に匿名セットを使用することもできます。
匿名セットの欠点は、セットを変更する場合はルールを置き換える必要があることです。動的なソリューションの場合は、「nftables で名前付きセットの使用」に従って名前付きセットを使用します。
前提条件
inet
ファミリーに example_chain チェーンおよび example_table テーブルがある。
手順6.13 nftables での匿名セットの使用
- たとえば、ポート
22
、80
、および443
に着信トラフィックを許可するルールを、example_table の example_chain に追加するには、次のコマンドを実行します。# nft add rule inet example_table example_chain tcp dport { 22, 80, 443 } accept
- 必要に応じて、example_table ですべてのチェーンとそのルールを表示します。
# nft list table inet example_table table inet example_table { chain example_chain { type filter hook input priority filter; policy accept; tcp dport { ssh, http, https } accept } }