Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

6.4. nftables 명령에서 세트 사용

nftables 프레임워크는 기본적으로 세트를 지원합니다. 예를 들어 규칙이 여러 IP 주소, 포트 번호, 인터페이스 또는 기타 일치 조건과 일치해야 하는 경우 세트를 사용할 수 있습니다.

6.4.1. nftables에서 익명 세트 사용

익명 세트에는 규칙에서 직접 사용하는 { 22, 80, 443 } 와 같이 중괄호로 묶인 쉼표로 구분된 값이 포함됩니다. IP 주소 또는 기타 일치 기준에도 익명 세트를 사용할 수 있습니다.
익명 세트의 단점은 세트를 변경하려면 규칙을 대체해야 한다는 것입니다. 동적 솔루션의 경우 6.4.2절. “nftables에서 명명된 세트 사용” 에 설명된 대로 이름이 지정된 세트를 사용합니다.

사전 요구 사항

  • inet 제품군의 example_chain 체인 및 example_table 테이블이 있습니다.

절차 6.13. nftables에서 익명 세트 사용

  1. 예를 들어 포트 22,80443 으로 들어오는 트래픽을 허용하는 example_table 에서 example_chain 에 규칙을 추가하려면 다음을 수행합니다. 
    # nft add rule inet example_table example_chain tcp dport { 22, 80, 443 } accept
  2. 선택적으로 모든 체인과 규칙을 example_table 에 표시합니다. 
    # nft list table inet example_table
table inet example_table {
  chain example_chain {
    type filter hook input priority filter; policy accept;
    tcp dport { ssh, http, https } accept
  }
}