Red Hat Training

A Red Hat training course is available for RHEL 8

26.6.5. Usando conjuntos em comandos nftables

A estrutura nftables suporta nativamente conjuntos. Você pode usar conjuntos, por exemplo, se uma regra deve corresponder a múltiplos endereços IP, números de porta, interfaces ou qualquer outro critério de correspondência.

26.6.5.1. Utilização de conjuntos anônimos em nftables

Um conjunto anônimo contém valores separados por vírgulas entre parênteses, como { 22, 80, 443 }, que você usa diretamente em uma regra. Você também pode usar conjuntos anônimos também para endereços IP ou qualquer outro critério de correspondência.

A desvantagem dos conjuntos anônimos é que, se você quiser mudar o conjunto, você deve substituir a regra. Para uma solução dinâmica, use os conjuntos nomeados como descrito em Seção 26.6.5.2, “Usando conjuntos nomeados em nftables”.

Pré-requisitos

  • A cadeia example_chain e a tabela example_table da família inet existe.

Procedimento

  1. Por exemplo, para adicionar uma regra a example_chain em example_table que permite o tráfego de entrada para a porta 22, 80 e 443: 

    # nft adicionar regra inet example_table example_chain tcp dport { 22, 80, 443 } aceitar

  2. Opcionalmente, exibir todas as correntes e suas regras em example_table: 

    # nft list table inet example_table
table inet example_table {
  chain example_chain {
    type filter hook input priority filter; policy accept;
    tcp dport { ssh, http, https } accept
  }
}