Red Hat Training

A Red Hat training course is available for RHEL 8

26.6.3. nftables テーブル、チェーン、およびルールの作成および管理

本セクションでは、nftables ルールセットを表示する方法と、その管理方法を説明します。

26.6.3.1. 標準のチェーン優先度の値およびテキスト名

チェーンを作成する場合は、priority で、同じ hook 値を持つチェーンが通過する順番を指定する、整数値または標準名を設定できます。

名前と値は、デフォルトのチェーンの登録時に xtables が使用する優先度に基づいて定義されます。

注記

nft list chains コマンドは、デフォルトで文字列の優先順位の値を表示します。-y オプションをコマンドに渡すことで、数値を表示できます。

例26.4 テキスト値を使用した優先順位の設定

以下のコマンドは、標準の優先度 50 を使用して example_tableexample_chain という名前のチェーンを作成します。

# nft add chain inet example_table example_chain { type filter hook input priority 50 \; policy accept \; }

優先度は標準の値であるため、テキスト値を使用することもできます。

# nft add chain inet example_table example_chain { type filter hook input priority security \; policy accept \; }

表26.1 標準優先順位名、ファミリー、およびフックの互換性マトリックス

名前ファミリーフック

raw

-300

ipip6inet

all

mangle

-150

ipip6inet

all

dstnat

-100

ipip6inet

prerouting

filter

0

ipip6inetarpnetdev

all

security

50

ipip6inet

all

srcnat

100

ipip6inet

postrouting

すべてのファミリーは同じ値を使用しますが、bridge ファミリーは以下の値を使用します。

表26.2 ブリッジブリッジファミリーの標準的な優先順位名およびフックの互換性

名前フック

dstnat

-300

prerouting

filter

-200

all

out

100

出力

srcnat

300

postrouting

関連情報

  • チェーンで実行できるその他のアクションの詳細は、man ページの nft(8)Chains セクションを参照してください。