6.2. nftables テーブル、チェーン、およびルールの作成および管理

手順6.4 nftables テーブルの作成

1. nft add table コマンドを使用して、新しいテーブルを作成します。たとえば、IPv4 パケットおよび IPv6 パケットを処理する example_table という名前のテーブルを作成するには、次のコマンドを実行します。

   # nft add table inet example_table

   Copy to Clipboard Toggle word wrap
2. 必要に応じて、ルールセットのテーブルを一覧表示します。

   # nft list tables
   table inet example_table

   Copy to Clipboard Toggle word wrap

手順6.5 nftables チェーンの作成

1. nft add chain コマンドを使用して、新しいチェーンを作成します。たとえば、example_table に、example_chain という名前のチェーンを作成するには、次のコマンドを実行します。

   # nft add chain inet example_table example_chain '{ type filter hook input priority 0 ; policy accept ; }'

   Copy to Clipboard Toggle word wrap
   重要
   シェルで、セミコロンがコマンドの最後として解釈されないようにするには、セミコロンをバックスラッシュでエスケープする必要があります。さらに、一部のシェルは中括弧も解釈するので、中括弧とその中のものはティック(')で引用します。
   このチェーンは、着信パケットをフィルターリングします。priority パラメーターは、nftables が同じフック値を持つチェーンを処理する順序を指定します。優先度の値が低いほど優先されます。policy パラメーターは、このチェーンのルールのデフォルトアクションを設定します。サーバーにリモートでログインし、デフォルトのポリシーを を ドロップ するように設定すると、他のルールでリモートアクセスが許可されていない場合は、すぐに切断されることに注意してください。
2. 必要に応じて、すべてのチェーンを表示します。

   # nft list chains
   table inet example_table {
     chain example_chain {
       type filter hook input priority filter; policy accept;
     }
   }
   

   Copy to Clipboard Toggle word wrap

手順6.6 nftables チェーンの最後に対するルールの追加

1. 新しいルールを追加するには、nft add rule コマンドを使用します。たとえば、example_table の example_chain に、ポート 22 の TCP トラフィックを許可するルールを追加するには、次のコマンドを実行します。

   # nft add rule inet example_table example_chain tcp dport 22 accept

   Copy to Clipboard Toggle word wrap
   代わりに、ポート番号の代わりにサービスの名前を指定することもできます。この例では、ポート番号 22 の代わりに ssh を使用できます。サービス名は、/etc/services ファイルのエントリーに基づいてポート番号に解決されることに注意してください。
2. 必要に応じて、example_table ですべてのチェーンとそのルールを表示します。

   # nft list table inet example_table
   table inet example_table {
     chain example_chain {
       type filter hook input priority filter; policy accept;
       ...
       tcp dport ssh accept
     }
   }
   

   Copy to Clipboard Toggle word wrap

手順6.7 nftables チェーンの先頭へのルールの挿入

1. 新しいルールを挿入するには、nft insert rule コマンドを使用します。たとえば、ポート 22 で TCP トラフィックを許可するルールを example_table の example_chain に挿入するには、次のコマンドを実行します。

   # nft insert rule inet example_table example_chain tcp dport 22 accept

   Copy to Clipboard Toggle word wrap
   代わりに、ポート番号の代わりにサービスの名前を指定することもできます。この例では、ポート番号 22 の代わりに ssh を使用できます。サービス名は、/etc/services ファイルのエントリーに基づいてポート番号に解決されることに注意してください。
2. 必要に応じて、example_table ですべてのチェーンとそのルールを表示します。

   # nft list table inet example_table
   table inet example_table {
     chain example_chain {
       type filter hook input priority filter; policy accept;
       tcp dport ssh accept
       ...
     }
   }
   

   Copy to Clipboard Toggle word wrap

手順6.8 nftables チェーンの特定の位置へのルールの挿入

1. nft -a list ruleset コマンドを使用して、ハンドルを含む example_table のすべてのチェーンとそのルールを表示します。

   # nft -a list table inet example_table
   table inet example_table { # handle 1
     chain example_chain { # handle 1
       type filter hook input priority filter; policy accept;
       tcp dport 22 accept # handle 2
       tcp dport 443 accept # handle 3
       tcp dport 389 accept # handle 4
     }
   }
   

   Copy to Clipboard Toggle word wrap
   -a を使用すると、ハンドルが表示されます。次の手順で新しいルールを配置するときに、この情報が必要です。
2. example_table の example_chain チェーンに新しいルールを挿入します。
   • ハンドル 3 の前に、ポート 636 で TCP トラフィックを許可するルールを挿入するには、次のコマンドを実行します。

     # nft insert rule inet example_table example_chain position 3 tcp dport 636 accept

     Copy to Clipboard Toggle word wrap
   • ハンドル 3 の後ろに、ポート 80 で TCP トラフィックを許可するルールを追加するには、次のコマンドを実行します。

     # nft add rule inet example_table example_chain position 3 tcp dport 80 accept

     Copy to Clipboard Toggle word wrap
3. 必要に応じて、example_table ですべてのチェーンとそのルールを表示します。

   # nft -a list table inet example_table
   table inet example_table { # handle 1
     chain example_chain { # handle 1
       type filter hook input priority filter; policy accept;
       tcp dport 22 accept # handle 2
       tcp dport 636 accept # handle 5
       tcp dport 443 accept # handle 3
       tcp dport 80 accept # handle 6
       tcp dport 389 accept # handle 4
     }
   }
   

   Copy to Clipboard Toggle word wrap