6.4. 使用 nftables 命令中的设置

过程 6.13. 在 nftables 中使用匿名集合

1. 例如，要向 example_table 中的 example_chain 添加一条规则，其允许传入流量到端口 22、80 和 443 ：

   # nft add rule inet example_table example_chain tcp dport { 22, 80, 443 } accept

   Copy to Clipboard Toggle word wrap
2. 另外，还可在 example_table 中显示所有链及其规则：

   # nft list table inet example_table
   table inet example_table {
     chain example_chain {
       type filter hook input priority filter; policy accept;
       tcp dport { ssh, http, https } accept
     }
   }
   

   Copy to Clipboard Toggle word wrap

过程 6.14. 在 nftables 中使用命名集

1. 创建一个空集。以下示例为 IPv4 地址创建一个集合：

   1. 要创建可存储多个独立 IPv4 地址的集合：

      # nft add set inet example_table example_set { type ipv4_addr \; }

      Copy to Clipboard Toggle word wrap
   2. 要创建可存储 IPv4 地址范围的集合：

      # nft add set inet example_table example_set { type ipv4_addr \; flags interval \; }

      Copy to Clipboard Toggle word wrap
   重要
   要避免 shell 认为分号作为命令结尾，您必须用反斜杠转义分号。
2. 另外，还可创建使用该集合的规则。例如，以下命令向 example_table 中的 example_chain 添加一条规则，该规则将丢弃 example_set 中来自 IPv4 地址的所有数据包。

   # nft add rule inet example_table example_chain ip saddr @example_set drop

   Copy to Clipboard Toggle word wrap
   由于 example_set 仍为空，所以该规则目前不起作用。

3. 向 example_set 中添加 IPv4 地址：

   1. 如果您创建存储单个 IPv4 地址的集合，请输入：

      # nft add element inet example_table example_set { 192.0.2.1, 192.0.2.2 }

      Copy to Clipboard Toggle word wrap
   2. 如果您创建存储 IPv4 范围的集合，请输入：

      # nft add element inet example_table example_set { 192.0.2.0-192.0.2.255 }

      Copy to Clipboard Toggle word wrap
   当您指定 IP 地址范围时，您也可以使用无类别域间路由(CIDR)标记，如上例中的 192.0.2.0/24。