nftablesで名前で名前付きインタフェースセットを作成するには？

Question 1

検索してバージョン0.9.0のソースコード:

static const struct datatype *datatypes[TYPE_MAX + 1] = {

[...]

  [TYPE_IFINDEX]      = &ifindex_type,

[...]

  [TYPE_IFNAME]       = &ifname_type,
};

それから彼らがどこにいるのかを調べてくださいはい限られた:

const struct datatype ifindex_type = {
  .type       = TYPE_IFINDEX,
  .name       = "iface_index",
  .desc       = "network interface index",

[...]

const struct datatype ifname_type = {
  .type       = TYPE_IFNAME,
  .name       = "ifname",
  .desc       = "network interface name",

（この回答を書くとき）、必須タイプはiface_index（例：）iif loとifname（例：）です。iifname "lo"nftマニュアルページには文書化されていません。。

nft add set inet filter if-index-set '{ type iface_index;  }'
nft add set inet filter if-name-set '{ type ifname;  }'

nft add element inet filter if-index-set '{ lo }'
nft add element inet filter if-name-set '{ lo }'

nft add chain inet filter input '{ type filter hook input priority 0; }'
nft add rule inet filter input iif @if-index-set counter
nft add rule inet filter input iifname @if-name-set counter

気づく名前があれば2022年5月31日に、コレクションにワイルドカードサポートが追加されました。nftables 1.0.3。名前付きセットを使用する必要があり、flags intervals最後のワイルドカードは*（+iptables）。

Answer

検索してバージョン0.9.0のソースコード:

static const struct datatype *datatypes[TYPE_MAX + 1] = {

[...]

  [TYPE_IFINDEX]      = &ifindex_type,

[...]

  [TYPE_IFNAME]       = &ifname_type,
};

それから彼らがどこにいるのかを調べてくださいはい限られた:

const struct datatype ifindex_type = {
  .type       = TYPE_IFINDEX,
  .name       = "iface_index",
  .desc       = "network interface index",

[...]

const struct datatype ifname_type = {
  .type       = TYPE_IFNAME,
  .name       = "ifname",
  .desc       = "network interface name",

（この回答を書くとき）、必須タイプはiface_index（例：）iif loとifname（例：）です。iifname "lo"nftマニュアルページには文書化されていません。。

nft add set inet filter if-index-set '{ type iface_index;  }'
nft add set inet filter if-name-set '{ type ifname;  }'

nft add element inet filter if-index-set '{ lo }'
nft add element inet filter if-name-set '{ lo }'

nft add chain inet filter input '{ type filter hook input priority 0; }'
nft add rule inet filter input iif @if-index-set counter
nft add rule inet filter input iifname @if-name-set counter

気づく名前があれば2022年5月31日に、コレクションにワイルドカードサポートが追加されました。nftables 1.0.3。名前付きセットを使用する必要があり、flags intervals最後のワイルドカードは*（+iptables）。

Question 2

nft要素データ型は、以下を使用して簡単に見つけることができます。

$ nft describe iifname    
meta expression, datatype ifname (network interface name) (basetype string), 16 characters
% nft describe iif    
meta expression, datatype iface_index (network interface index) (basetype integer), 32 bits

それを見た方ifnameもiface_index可能なタイプだから宣言できます:

 set myset {
    type ifname
    elements = {
       "clients0",  
       "dockernet"  
    }       
 }

上記の例で型がわからない場合は、代わりにtypeof iifname書くこともできます（v0.9.4以降が必要です）。type ifnamenft

Answer

nft要素データ型は、以下を使用して簡単に見つけることができます。

$ nft describe iifname    
meta expression, datatype ifname (network interface name) (basetype string), 16 characters
% nft describe iif    
meta expression, datatype iface_index (network interface index) (basetype integer), 32 bits

それを見た方ifnameもiface_index可能なタイプだから宣言できます:

 set myset {
    type ifname
    elements = {
       "clients0",  
       "dockernet"  
    }       
 }

上記の例で型がわからない場合は、代わりにtypeof iifname書くこともできます（v0.9.4以降が必要です）。type ifnamenft

nftablesで名前で名前付きインタフェースセットを作成するには？

答え1

答え2

関連情報