一,policy:
1,原文档链接:
https://docs.redhat.com/zh_hans/documentation/red_hat_enterprise_linux/9/html/configuring_firewalls_and_packet_filters/assembly_creating-and-managing-nftables-tables-chains-and-rules_getting-started-with-nftables#con_basics-of-nftables-tables_assembly_creating-and-managing-nftables-tables-chains-and-rules2,链策略
如果此链中的规则没有指定任何操作,则链策略定义 nftables 是否应该接受或丢弃数据包。
您可以在链中设置以下策略之一:
accept(默认)drop
二,两种链:基本链和常规链的区别
表由链组成,链又是规则的容器。存在以下两种规则类型:
- 基本链 :您可以使用基本链作为来自网络堆栈的数据包的入口点。
- 常规链 :您可以将常规链用作
jump目标来更好地组织规则。
如果要向表中添加基本链,所使用的格式取决于您的防火墙脚本:
-
在原生语法的脚本中,使用:
table <table_address_family> <table_name> { chain <chain_name> { type <type> hook <hook> priority <priority> policy <policy> ; } } -
在 shell 脚本中,使用:
为了避免 shell 将分号解释为命令的结尾,请将nft add chain <table_address_family> <table_name> <chain_name> { type <type> hook <hook> priority <priority> \; policy <policy> \; }\转义字符放在分号前面。
这两个示例都创建 基本链。要创建 常规链,请不要在大括号中设置任何参数。
三,链的类型
以下是链类型以及您可以使用的地址系列和钩子的概述:
四,add和insert的区别:
add 命令在链的末尾附加新规则。
如果要在链的开头添加一条规则,请使用 nft insert 命令而不是 nft add。
例子:
添加表和链
[root@192 ~]# nft add table inet my_table
[root@192 ~]# nft add chain inet my_table my_chain { type filter hook input priority 0 \; }反斜线(\)用来转义,这样 shell 就不会将分号解释为命令的结尾
[root@192 ~]# nft list ruleset
table inet my_table {
chain my_chain {
type filter hook input priority filter; policy accept;
}
}分别用add/insert命令添加规则
[root@192 ~]# nft add rule inet my_table my_chain tcp dport ssh accept
[root@192 ~]# nft insert rule inet my_table my_chain tcp dport http accept查看添加后的规则:
[root@192 ~]# nft list ruleset
table inet my_table {
chain my_chain {
type filter hook input priority filter; policy accept;
tcp dport 80 accept
tcp dport 22 accept
}
}五,索引和句柄的区别:
使用索引要注意的地方:一是 index 的值是从 0 开始的;二是 index 必须指向一个存在的规则
把规则插入到链的指定位置,有两种方法:
1、 使用 index 来指定规则的索引。add 表示新规则添加在索引位置的规则后面,insert 表示新规则添加在索引位置的规则前面。
index 的值从 0 开始增加。
使用insert插入规则的例子:
[root@192 ~]# nft insert rule inet my_table my_chain index 1 tcp dport nfs accept查看效果:
[root@192 ~]# nft list ruleset
table inet my_table {
chain my_chain {
type filter hook input priority filter; policy accept;
tcp dport 80 accept
tcp dport 2049 accept
tcp dport 22 accept
}
}insert插入规则例子2:
[root@192 ~]# nft insert rule inet my_table my_chain index 0 tcp dport mysql accept查看效果:
[root@192 ~]# nft list ruleset
table inet my_table {
chain my_chain {
type filter hook input priority filter; policy accept;
tcp dport 3306 accept
tcp dport 80 accept
tcp dport 2049 accept
tcp dport 22 acceptadd添加规则:
[root@192 ~]# nft add rule inet my_table my_chain index 0 tcp dport 1234 accept查看效果:
[root@192 ~]# nft list ruleset
table inet my_table {
chain my_chain {
type filter hook input priority filter; policy accept;
tcp dport 3306 accept
tcp dport 1234 accept
tcp dport 80 accept
tcp dport 2049 accept
tcp dport 22 accept
}
} 2,使用 handle 来指定规则的句柄。add 表示新规则添加在索引位置的规则后面,insert 表示新规则添加在索引位置的规则前面。handle 的值可以通过参数 --handle 获取
查看句柄:
[root@192 ~]# nft --handle list ruleset
table inet my_table { # handle 2
chain my_chain { # handle 1
type filter hook input priority filter; policy accept;
tcp dport 3306 accept # handle 5
tcp dport 1234 accept # handle 6
tcp dport 80 accept # handle 3
tcp dport 2049 accept # handle 4
tcp dport 22 accept # handle 2
}
}用add添加规则:
[root@192 ~]# nft add rule inet my_table my_chain handle 6 tcp dport 222 accept查看效果:
[root@192 ~]# nft --handle list ruleset
table inet my_table { # handle 2
chain my_chain { # handle 1
type filter hook input priority filter; policy accept;
tcp dport 3306 accept # handle 5
tcp dport 1234 accept # handle 6
tcp dport 222 accept # handle 7
tcp dport 80 accept # handle 3
tcp dport 2049 accept # handle 4
tcp dport 22 accept # handle 2
}
}用insert命令添加规则:
[root@192 ~]# nft insert rule inet my_table my_chain handle 5 tcp dport 333 accept查看效果:
[root@192 ~]# nft --handle list ruleset
table inet my_table { # handle 2
chain my_chain { # handle 1
type filter hook input priority filter; policy accept;
tcp dport 333 accept # handle 8
tcp dport 3306 accept # handle 5
tcp dport 1234 accept # handle 6
tcp dport 222 accept # handle 7
tcp dport 80 accept # handle 3
tcp dport 2049 accept # handle 4
tcp dport 22 accept # handle 2
}
} 3,在 nftables 中,句柄值是固定不变的,除非规则被删除,这就为规则提供了稳定的索引。
而 index 的值是可变的,只要有新规则插入,就有可能发生变化。
一般建议使用 handle 来插入新规则。
六,刷新链和删除链的区别:
删除链
和删除表一样通过delete参数
nft delete chain 族类型 表名 链名刷新来自链的规则
清空指定表中特定链的所有规则,但保留该链的结构和配置
nft flush chain 族类型 表名 链名例子:
删除前:
[root@192 ~]# nft list ruleset
table inet my_table {
chain my_chain {
type filter hook input priority filter; policy accept;
tcp dport 333 accept
tcp dport 3306 accept
tcp dport 1234 accept
tcp dport 222 accept
tcp dport 80 accept
tcp dport 2049 accept
tcp dport 22 accept
}
}清空链
[root@192 ~]# nft flush chain inet my_table my_chain查看效果:
[root@192 ~]# nft list ruleset
table inet my_table {
chain my_chain {
type filter hook input priority filter; policy accept;
}
}删除链:
[root@192 ~]# nft delete chain inet my_table my_chain查看效果:
[root@192 ~]# nft list ruleset
table inet my_table {
}
标签:chain,tcp,基础知识,安全,nftables,accept,dport,table,my From: https://www.cnblogs.com/architectforest/p/18416711