~에서nftables 빠른 참조:
family는 ip, arp, ip6, bridge, inet, netdev 테이블 유형 중 하나를 나타냅니다.
그리고
type은 생성할 체인의 유형을 나타냅니다. 가능한 유형은 다음과 같습니다.
필터: arp, bridge, ip, ip6 및 inet 테이블 계열이 지원됩니다.
라우팅: ip 및 ip6에서 지원되는 패킷을 표시합니다(예: 출력 후크에 대한 맹글, 다른 후크는 대신 유형 필터를 사용함).
nat: 네트워크 주소 변환의 경우 ip와 ip6이 모두 지원됩니다.
가능한 체인 유형은 다음과 같습니다.
데이터 패킷을 필터링하는 데 사용되는 필터입니다. 이는 arp, bridge, ip, ip6 및 inet 테이블 제품군에서 지원됩니다.
관련 IP 헤더 필드 또는 패킷 태그가 수정될 때 패킷을 다시 라우팅하는 데 사용되는 라우팅. iptables에 익숙하다면 이 체인 유형은 mangle 테이블과 동일한 의미를 제공하지만 출력 후크에만 적용됩니다(다른 후크의 경우 유형 필터 사용). ip, ip6 및 inet 테이블 계열은 이를 지원합니다.
nat, NAT(Network Address Translation)를 수행하는 데 사용됩니다. 특정 흐름의 첫 번째 패킷만 이 체인에 도달하고 후속 패킷은 이를 우회합니다. 따라서 이 체인을 필터링에 사용하지 마십시오. ip, ip6 및 inet 테이블 계열은 nat 체인 유형을 지원합니다.
따라서 적어도 두 개의 권위 있는 참고 자료에 따르면 이 netdev계열은 어떤 연결 유형도 지원하지 않습니다. 그렇다면 netdev가족을 어떻게 활용할까요?
답변1
저는 nftables를 처음 접했지만 nftables 규칙에도 관심이 있습니다. 나는 nftables wiki에서 이것을 찾았습니다: "이 (netdev) 시리즈의 주요(유일한) 용도는 Linux 커널 4.2의 새로운 기능인 수신 후크를 사용하는 기본 체인입니다."https://wiki.nftables.org/wiki-nftables/index.php/Nftables_families
수신 후크를 사용하면 L2 트래픽을 필터링할 수 있습니다. 이는 사전 라우팅 전과 패킷이 NIC 드라이버에서 전달된 후에 발생합니다. 이는 매우 초기에 필터링 전략을 구현할 수 있음을 의미합니다. 패킷 경로의 매우 초기 위치는 DDoS 공격과 관련된 패킷을 삭제하는 데 이상적입니다. 입구 후크에 체인을 추가할 때 체인이 부착될 장치를 지정해야 합니다.
원천:https://www.datapacket.com/blog/secure-your-server-with-nftables
장치를 지정하는 방법은 여기에서 확인할 수 있습니다. (netdev) 엔트리 후크를 사용하기 위해 체인을 선언할 때 장치 이름 변수를 어떻게 사용합니까?