특정 호스트에서 발생하는 모든 트래픽에 규칙을 적용 해야 nftables하지만 패킷에 반드시 올바른 FQDN이 포함될 필요는 없으므로 IP 주소에 의존해야 합니다. 문제는 FQDN에 대해 여러 중복 IP가 반환되고 이러한 IP가 수시로 순서/우선순위를 변경하거나 완전히 교체될 수도 있다는 것입니다.
여러 IP가 반환되므로 변수 name 을 사용해야 set하지만 일치하는 최신 IP 목록이 있는지 확인하기 위해 주기적으로 세트를 업데이트해야 합니다.
named우리 서버에는 BIND9()가 있으므로 cron 작업 스크립트를 가질 수 있다고 생각합니다.
- 다음 명령을 사용하여 FQDN에 대한 로컬 DNS 확인자를 새로 고칩니다
rdnc flushname.... - 그런 다음 파서 캐시를 업데이트하기 위해 채굴합니다
dig +short.... nft add element...새로운 사람들과 함께 달리고,- 이전 명명된 세트 새로 고침
nft delete element...
이것이 이 문제를 해결하는 올바른 방법입니까? 아니면 이미 다른 방법으로 해결된 문제를 지나치게 생각하고 있는 걸까요?
답변1
이전 요소를 삭제하기 전에 새 요소를 생성해야 합니다. 이렇게 하면 항상 일치하는 그룹이 하나 있고 방화벽 업데이트로 인해 패킷이 손실되지 않습니다. 짧은 간격은 문제를 일으키지 않을 수도 있지만 하지 않을 이유가 없습니다.
답변2
실제로 nft -f를 통해 nftables의 원자 로딩 동작을 사용할 수 있습니다. 이 파일에서는 먼저 컬렉션을 새로 고친 다음 현재 DNS 마이닝에서 반환된 요소만 추가합니다. 컬렉션 콘텐츠를 처음부터 선언하므로 더 이상 컬렉션에 없는 콘텐츠를 삭제할 필요가 없습니다. 구현하기가 더 쉬워야합니다 ...