手順6.15 nftables での匿名マップの使用

1. example_table を作成します。

   # nft add table inet example_table

2. example_table に tcp_packets チェーンを作成します。

   # nft add chain inet example_table tcp_packets

3. このチェーンのトラフィックをカウントする tcp_packets にルールを追加します。

   # nft add rule inet example_table tcp_packets counter

4. example_table に udp_packets チェーンを作成します。

   # nft add chain inet example_table udp_packets

5. このチェーンのトラフィックをカウントする udp_packets にルールを追加します。

   # nft add rule inet example_table udp_packets counter

6. 着信トラフィックのチェーンを作成します。たとえば、example_table に、着信トラフィックをフィルタリングする incoming_traffic という名前のチェーンを作成するには、次のコマンドを実行します。

   # nft add chain inet example_table incoming_traffic { type filter hook input priority 0 \; }

7. 匿名マップを持つルールを incoming_traffic に追加します。

   # nft add rule inet example_table incoming_traffic ip protocol vmap { tcp : jump tcp_packets, udp : jump udp_packets }

   匿名マップはパケットを区別し、プロトコルに基づいて別のカウンターチェーンに送信します。
8. トラフィックカウンターを一覧表示するには、example_table を表示します。

   # nft list table inet example_table
   table inet example_table {
     chain tcp_packets {
       counter packets 36379 bytes 2103816
     }
   
     chain udp_packets {
       counter packets 10 bytes 1559
     }
   
     chain incoming_traffic {
       type filter hook input priority filter; policy accept;
       ip protocol vmap { tcp : jump tcp_packets, udp : jump udp_packets }
     }
   }
   

   tcp_packets チェーンおよび udp_packets チェーンのカウンターは、受信パケットとバイトの両方を表示します。