Menu Close
Settings Close

Language and Page Formatting Options

2.6.2. 在 nftables 中使用命名映射

nftables 框架支持命名映射。您可以在表中的多个规则中使用这些映射。匿名映射的另一个好处在于,您可以更新命名映射而不比替换使用它的规则。

在创建命名映射时,您必须指定元素的类型:

  • 匹配部分包含 IPv4 地址的映射的 ipv4_addr,如 192.0.2.1
  • 匹配部分包含 IPv6 地址的映射的 ipv6_addr,如 2001:db8:1::1
  • 匹配部分包含介质访问控制(MAC)地址的映射的ether_addr ,如 52:54:00:6b:66:42
  • 匹配部分包含互联网协议类型的映射的 inet_proto ,如 tcp
  • 匹配部分包含互联网服务名称端口号的映射的inet_service ,如 ssh22
  • 匹配部分包含数据包的映射的 mark 。数据包标记可以是任意正 32 位整数值(02147483647)。
  • 匹配部分包含计数器值的映射的 counter。计数器值可以是任意正 64 位整数值。
  • 匹配部分包含配额值的映射的 quota。配额值可以是任意正 64 位整数值。

这个示例论述了如何根据源 IP 地址允许或丢弃传入的数据包。使用命名映射时,您只需要一条规则来配置这种场景,而 IP 地址和操作被动态存储在映射中。此流程还描述了如何从映射中添加和删除条目。

流程

  1. 创建表。例如,要创建一个处理 IPv4 数据包的、名为 example_table 的表:

    # nft add table ip example_table
  2. 创建链。例如,要在 example_table 中创建一个名为 example_chain 的链:

    # nft add chain ip example_table example_chain { type filter hook input priority 0 \; }
    重要

    要防止 shell 将分号解释为命令结尾,您必须使用反斜杠转义分号。

  3. 创建一个空的映射。例如,要为 IPv4 地址创建映射:

    # nft add map ip example_table example_map { type ipv4_addr : verdict \; }
  4. 创建使用该映射的规则。例如,以下命令向 example_table 中的 example_chain 添加了一条规则,该规则将操作应用到在 example_map 中定义的 IPv4 地址:

    # nft add rule example_table example_chain ip saddr vmap @example_map
  5. example_map 添加 IPv4 地址和相应的操作:

    # nft add element ip example_table example_map { 192.0.2.1 : accept, 192.0.2.2 : drop }

    这个示例定义了 IPv4 地址到操作的映射。与以上创建的规则相结合,防火墙接受来自 192.0.2.1 的数据包,丢弃来自 192.0.2.2 的数据包。

  6. 可选:通过添加另一个 IP 地址和 action 语句来增强映射:

    # nft add element ip example_table example_map { 192.0.2.3 : accept }
  7. 可选:从映射中删除条目:

    # nft delete element ip example_table example_map { 192.0.2.1 }
  8. 可选:显示规则集:

    # nft list ruleset
    table ip example_table {
      map example_map {
        type ipv4_addr : verdict
        elements = { 192.0.2.2 : drop, 192.0.2.3 : accept }
      }
    
      chain example_chain {
        type filter hook input priority filter; policy accept;
        ip saddr vmap @example_map
      }
    }