第 15 章 在 nftables 命令中使用判决映射

流程

1. 创建新表：

   # nft add table inet example_table

   Copy to Clipboard Toggle word wrap

2. 在 example_table 中创建 tcp_packets 链：

   # nft add chain inet example_table tcp_packets

   Copy to Clipboard Toggle word wrap

3. 向统计此链中流量的 tcp_packets 中添加一条规则：

   # nft add rule inet example_table tcp_packets counter

   Copy to Clipboard Toggle word wrap

4. 在 example_table 中创建 udp_packets 链

   # nft add chain inet example_table udp_packets

   Copy to Clipboard Toggle word wrap

5. 向统计此链中流量的 udp_packets 中添加一条规则：

   # nft add rule inet example_table udp_packets counter

   Copy to Clipboard Toggle word wrap

6. 为传入的流量创建一个链。例如，要在过滤传入的流量的 example_table 中创建一个名为 incoming_traffic 的链：

   # nft add chain inet example_table incoming_traffic { type filter hook input priority 0 \; }

   Copy to Clipboard Toggle word wrap

7. 添加一条带有到 incoming_traffic 匿名映射的规则 ：

   # nft add rule inet example_table incoming_traffic ip protocol vmap { tcp : jump tcp_packets, udp : jump udp_packets }

   Copy to Clipboard Toggle word wrap

   匿名映射区分数据包，并根据它们的协议将它们发送到不同的计数链。

8. 要列出流量计数器，请显示 example_table ：

   # nft list table inet example_table
   table inet example_table {
     chain tcp_packets {
       counter packets 36379 bytes 2103816
     }
   
     chain udp_packets {
       counter packets 10 bytes 1559
     }
   
     chain incoming_traffic {
       type filter hook input priority filter; policy accept;
       ip protocol vmap { tcp : jump tcp_packets, udp : jump udp_packets }
     }
   }

   Copy to Clipboard Toggle word wrap

   tcp_packets 和 udp_packets 链中的计数器显示两者接收的数据包和字节数。