15.2. 在 nftables 中使用命名映射

流程

1. 创建表。例如，要创建一个处理 IPv4 数据包的、名为 example_table 的表：

   # nft add table ip example_table

   Copy to Clipboard Toggle word wrap

2. 创建链。例如，要在 example_table 中创建一个名为 example_chain 的链：

   # nft add chain ip example_table example_chain { type filter hook input priority 0 \; }

   Copy to Clipboard Toggle word wrap
   重要

   要防止 shell 将分号解释为命令结尾，您必须使用反斜杠转义分号。

3. 创建一个空的映射。例如，要为 IPv4 地址创建映射：

   # nft add map ip example_table example_map { type ipv4_addr : verdict \; }

   Copy to Clipboard Toggle word wrap

4. 创建使用该映射的规则。例如，以下命令向 example_table 中的 example_chain 添加了一条规则，该规则将操作应用到在 example_map 中定义的 IPv4 地址：

   # nft add rule example_table example_chain ip saddr vmap @example_map

   Copy to Clipboard Toggle word wrap

5. 向 example_map 添加 IPv4 地址和相应的操作：

   # nft add element ip example_table example_map { 192.0.2.1 : accept, 192.0.2.2 : drop }

   Copy to Clipboard Toggle word wrap

   这个示例定义了 IPv4 地址到操作的映射。与以上创建的规则相结合，防火墙接受来自 192.0.2.1 的数据包，丢弃来自 192.0.2.2 的数据包。

6. 可选：通过添加另一个 IP 地址和 action 语句来增强映射：

   # nft add element ip example_table example_map { 192.0.2.3 : accept }

   Copy to Clipboard Toggle word wrap

7. 可选：从映射中删除条目：

   # nft delete element ip example_table example_map { 192.0.2.1 }

   Copy to Clipboard Toggle word wrap

8. 可选：显示规则集：

   # nft list ruleset
   table ip example_table {
     map example_map {
       type ipv4_addr : verdict
       elements = { 192.0.2.2 : drop, 192.0.2.3 : accept }
     }
   
     chain example_chain {
       type filter hook input priority filter; policy accept;
       ip saddr vmap @example_map
     }
   }

   Copy to Clipboard Toggle word wrap