nftables에서 이름으로 명명된 인터페이스 세트를 만드는 방법은 무엇입니까?

Question 1

static const struct datatype *datatypes[TYPE_MAX + 1] = {

[...]

  [TYPE_IFINDEX]      = &ifindex_type,

[...]

  [TYPE_IFNAME]       = &ifname_type,
};

그런 다음 그들이 어디에 있는지 찾아보세요예 한정된:

const struct datatype ifindex_type = {
  .type       = TYPE_IFINDEX,
  .name       = "iface_index",
  .desc       = "network interface index",

[...]

const struct datatype ifname_type = {
  .type       = TYPE_IFNAME,
  .name       = "ifname",
  .desc       = "network interface name",

(이 답변을 작성할 당시) 필수 유형은 iface_index(예: iif lo) 및 ifname(예: )임을 알 수 있습니다.iifname "lo"nft매뉴얼 페이지에는 문서화되어 있지 않습니다..

nft add set inet filter if-index-set '{ type iface_index;  }'
nft add set inet filter if-name-set '{ type ifname;  }'

nft add element inet filter if-index-set '{ lo }'
nft add element inet filter if-name-set '{ lo }'

nft add chain inet filter input '{ type filter hook input priority 0; }'
nft add rule inet filter input iif @if-index-set counter
nft add rule inet filter input iifname @if-name-set counter

알아채다이름이 있으면2022년 5월 31일에 컬렉션에 와일드 카드 지원이 추가되었습니다.nftables 1.0.3. 명명된 세트를 사용해야 하며 flags intervals마지막 와일드카드 는 *(+iptables).

Answer

검색해서버전 0.9.0의 소스 코드:

static const struct datatype *datatypes[TYPE_MAX + 1] = {

[...]

  [TYPE_IFINDEX]      = &ifindex_type,

[...]

  [TYPE_IFNAME]       = &ifname_type,
};

그런 다음 그들이 어디에 있는지 찾아보세요예 한정된:

const struct datatype ifindex_type = {
  .type       = TYPE_IFINDEX,
  .name       = "iface_index",
  .desc       = "network interface index",

[...]

const struct datatype ifname_type = {
  .type       = TYPE_IFNAME,
  .name       = "ifname",
  .desc       = "network interface name",

(이 답변을 작성할 당시) 필수 유형은 iface_index(예: iif lo) 및 ifname(예: )임을 알 수 있습니다.iifname "lo"nft매뉴얼 페이지에는 문서화되어 있지 않습니다..

nft add set inet filter if-index-set '{ type iface_index;  }'
nft add set inet filter if-name-set '{ type ifname;  }'

nft add element inet filter if-index-set '{ lo }'
nft add element inet filter if-name-set '{ lo }'

nft add chain inet filter input '{ type filter hook input priority 0; }'
nft add rule inet filter input iif @if-index-set counter
nft add rule inet filter input iifname @if-name-set counter

알아채다이름이 있으면2022년 5월 31일에 컬렉션에 와일드 카드 지원이 추가되었습니다.nftables 1.0.3. 명명된 세트를 사용해야 하며 flags intervals마지막 와일드카드 는 *(+iptables).

Question 2

nft요소 데이터 유형은 다음을 사용하여 쉽게 찾을 수 있습니다.

$ nft describe iifname    
meta expression, datatype ifname (network interface name) (basetype string), 16 characters
% nft describe iif    
meta expression, datatype iface_index (network interface index) (basetype integer), 32 bits

그걸 보신 분들 ifname도 iface_index가능한 타입이니까당신은 선언할 수 있습니다:

 set myset {
    type ifname
    elements = {
       "clients0",  
       "dockernet"  
    }       
 }

위의 예에서 유형을 모르면 typeof iifname대신 쓸 수도 있습니다(v0.9.4 이상 필요).type ifnamenft

Answer

nft요소 데이터 유형은 다음을 사용하여 쉽게 찾을 수 있습니다.

$ nft describe iifname    
meta expression, datatype ifname (network interface name) (basetype string), 16 characters
% nft describe iif    
meta expression, datatype iface_index (network interface index) (basetype integer), 32 bits

그걸 보신 분들 ifname도 iface_index가능한 타입이니까당신은 선언할 수 있습니다:

 set myset {
    type ifname
    elements = {
       "clients0",  
       "dockernet"  
    }       
 }

위의 예에서 유형을 모르면 typeof iifname대신 쓸 수도 있습니다(v0.9.4 이상 필요).type ifnamenft

nftables에서 이름으로 명명된 인터페이스 세트를 만드는 방법은 무엇입니까?

답변1

답변2

관련 정보