6.5. Uso de conjuntos en los comandos de nftables
El marco de trabajo nftables admite de forma nativa los conjuntos. Puedes utilizar conjuntos, por ejemplo, si una regla debe coincidir con varias direcciones IP, números de puerto, interfaces o cualquier otro criterio de coincidencia.
6.5.1. Uso de conjuntos anónimos en nftables
Un conjunto anónimo contiene valores separados por comas y encerrados entre corchetes, como { 22, 80, 443 }, que se utilizan directamente en una regla. También puede utilizar conjuntos anónimos para direcciones IP o cualquier otro criterio de coincidencia.
El inconveniente de los conjuntos anónimos es que si se quiere cambiar el conjunto, hay que sustituir la regla. Para una solución dinámica, utilice conjuntos con nombre como se describe en Sección 6.5.2, “Uso de conjuntos con nombre en nftables”.
Requisitos previos
-
Existe la cadena
example_chainy la tablaexample_tableen la familiainet.
Procedimiento
Por ejemplo, para añadir una regla a
example_chainenexample_tableque permita el tráfico entrante al puerto22,80y443:# nft add rule inet example_table example_chain tcp dport { 22, 80, 443 } accept
Opcionalmente, mostrar todas las cadenas y sus reglas en
example_table:# nft list table inet example_table table inet example_table { chain example_chain { type filter hook input priority filter; policy accept; tcp dport { ssh, http, https } accept } }
