Red Hat Training

A Red Hat training course is available for RHEL 8

45.3.4. Criando uma cadeia nftables

As correntes são recipientes para regras. Existem os dois tipos de regras a seguir:

  • Cadeia base: Você pode usar cadeias de base como um ponto de entrada para pacotes da pilha de rede.
  • Corrente regular: Você pode usar correntes regulares como um alvo jump e para organizar melhor as regras.

O procedimento descreve como adicionar uma cadeia de base a uma tabela existente.

Pré-requisitos

  • A tabela à qual se deseja acrescentar a nova cadeia existe.

Procedimento

  1. Use o comando nft add chain para criar uma nova cadeia. Por exemplo, para criar uma cadeia chamada example_chain em example_table:

    # nft add chain inet example_table example_chain { type filter hook input priority 0 {\i1}; policy accept {\i1}
    Importante

    Para evitar que a casca interprete os ponto-e-vírgula como o fim do comando, você deve escapar dos pontos-e-vírgula com uma barra invertida.

    Esta corrente filtra os pacotes de entrada. O parâmetro priority especifica a ordem na qual nftables processa cadeias com o mesmo valor de gancho. Um valor de prioridade mais baixo tem precedência sobre os mais altos. O parâmetro policy define a ação padrão para as regras nesta cadeia. Observe que se você estiver conectado remotamente ao servidor e definir a política padrão para drop, você será desconectado imediatamente se nenhuma outra regra permitir o acesso remoto.

  2. Opcionalmente, exibir todas as correntes:

    # nft list chains
    table inet example_table {
      chain example_chain {
        type filter hook input priority filter; policy accept;
      }
    }

Recursos adicionais

  • Para mais detalhes sobre famílias de endereços, consulte a seção Address families na página de manual nft(8).
  • Para obter detalhes sobre outras ações que você pode executar em cadeias, consulte a seção Chains na página de manual nft(8).