15.2. 在 nftables 中使用命名映射

nftables 框架支持命名映射。您可以在表中的多个规则中使用这些映射。匿名映射的另一个好处在于，您可以更新命名映射而不比替换使用它的规则。

在创建命名映射时，您必须指定元素的类型：

匹配部分包含 IPv4 地址的映射的 ipv4_addr，如 192.0.2.1。
匹配部分包含 IPv6 地址的映射的 ipv6_addr，如 2001:db8:1::1。
匹配部分包含介质访问控制(MAC)地址的映射的ether_addr ，如 52:54:00:6b:66:42。
匹配部分包含互联网协议类型的映射的 inet_proto，如 tcp。
匹配部分包含互联网服务名称端口号的映射的 inet_service，如 ssh 或 22。
匹配部分包含数据包的映射的 mark 。数据包标记可以是任意正 32 位整数值(0 到 2147483647)。

例如，您可以根据其源 IP 地址允许或丢弃传入的数据包。使用命名映射时，您只需要一条规则来配置这种场景，而 IP 地址和操作被动态存储在映射中。

流程

创建表。例如，要创建一个处理 IPv4 数据包的、名为 example_table 的表：
```
# nft add table ip example_table
```
创建链。例如，要在 example_table 中创建一个名为 example_chain 的链：
```
# nft add chain ip example_table example_chain { type filter hook input priority 0 \; }
```
重要
要防止 shell 将分号解释为命令结尾，您必须使用反斜杠转义分号。

创建一个空的映射。例如，要为 IPv4 地址创建映射：

# nft add map ip example_table example_map { type ipv4_addr : verdict \; }

创建使用该映射的规则。例如，以下命令向 example_table 中的 example_chain 添加了一条规则，该规则将操作应用到在 example_map 中定义的 IPv4 地址：
```
# nft add rule example_table example_chain ip saddr vmap @example_map
```
向 example_map 添加 IPv4 地址和相应的操作：
```
# nft add element ip example_table example_map { 192.0.2.1 : accept, 192.0.2.2 : drop }
```
这个示例定义了 IPv4 地址到操作的映射。与以上创建的规则相结合，防火墙接受来自 192.0.2.1 的数据包，丢弃来自 192.0.2.2 的数据包。
可选：通过添加另一个 IP 地址和 action 语句来增强映射：
```
# nft add element ip example_table example_map { 192.0.2.3 : accept }
```

可选：从映射中删除条目：

# nft delete element ip example_table example_map { 192.0.2.1 }

可选：显示规则集：

# nft list ruleset
table ip example_table {
  map example_map {
    type ipv4_addr : verdict
    elements = { 192.0.2.2 : drop, 192.0.2.3 : accept }
  }

  chain example_chain {
    type filter hook input priority filter; policy accept;
    ip saddr vmap @example_map
  }
}

15.2. 在 nftables 中使用命名映射

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links