如何在 nftables 中按名称创建一组命名接口？

Question 1

通过搜索在0.9.0版本的源码:

static const struct datatype *datatypes[TYPE_MAX + 1] = {

[...]

  [TYPE_IFINDEX]      = &ifindex_type,

[...]

  [TYPE_IFNAME]       = &ifname_type,
};

然后寻找他们在哪里是定义的:

const struct datatype ifindex_type = {
  .type       = TYPE_IFINDEX,
  .name       = "iface_index",
  .desc       = "network interface index",

[...]

const struct datatype ifname_type = {
  .type       = TYPE_IFNAME,
  .name       = "ifname",
  .desc       = "network interface name",

可能会发现所需的类型是iface_index(eg: iif lo) 和ifname(eg iifname "lo")，即使（在撰写此答案时）它是nft的手册页中未记录。

nft add set inet filter if-index-set '{ type iface_index;  }'
nft add set inet filter if-name-set '{ type ifname;  }'

nft add element inet filter if-index-set '{ lo }'
nft add element inet filter if-name-set '{ lo }'

nft add chain inet filter input '{ type filter hook input priority 0; }'
nft add rule inet filter input iif @if-index-set counter
nft add rule inet filter input iifname @if-name-set counter

注意如果名称已于 2022 年 5 月 31 日添加了集合中的通配符支持nftables 1.0.3。必须使用命名集flags intervals，最后的通配符是*（+不像iptables）。

Answer

通过搜索在0.9.0版本的源码:

static const struct datatype *datatypes[TYPE_MAX + 1] = {

[...]

  [TYPE_IFINDEX]      = &ifindex_type,

[...]

  [TYPE_IFNAME]       = &ifname_type,
};

然后寻找他们在哪里是定义的:

const struct datatype ifindex_type = {
  .type       = TYPE_IFINDEX,
  .name       = "iface_index",
  .desc       = "network interface index",

[...]

const struct datatype ifname_type = {
  .type       = TYPE_IFNAME,
  .name       = "ifname",
  .desc       = "network interface name",

可能会发现所需的类型是iface_index(eg: iif lo) 和ifname(eg iifname "lo")，即使（在撰写此答案时）它是nft的手册页中未记录。

nft add set inet filter if-index-set '{ type iface_index;  }'
nft add set inet filter if-name-set '{ type ifname;  }'

nft add element inet filter if-index-set '{ lo }'
nft add element inet filter if-name-set '{ lo }'

nft add chain inet filter input '{ type filter hook input priority 0; }'
nft add rule inet filter input iif @if-index-set counter
nft add rule inet filter input iifname @if-name-set counter

注意如果名称已于 2022 年 5 月 31 日添加了集合中的通配符支持nftables 1.0.3。必须使用命名集flags intervals，最后的通配符是*（+不像iptables）。

Question 2

nft可以使用如下方式轻松找到元素数据类型：

$ nft describe iifname    
meta expression, datatype ifname (network interface name) (basetype string), 16 characters
% nft describe iif    
meta expression, datatype iface_index (network interface index) (basetype integer), 32 bits

你看到了ifname和iface_index是可能的类型，所以你可以声明:

 set myset {
    type ifname
    elements = {
       "clients0",  
       "dockernet"  
    }       
 }

在上面的例子中，如果你不知道类型，你甚至可以写typeof iifname代替（需要v0.9.4 或更高版本）。type ifnamenft

Answer

nft可以使用如下方式轻松找到元素数据类型：

$ nft describe iifname    
meta expression, datatype ifname (network interface name) (basetype string), 16 characters
% nft describe iif    
meta expression, datatype iface_index (network interface index) (basetype integer), 32 bits

你看到了ifname和iface_index是可能的类型，所以你可以声明:

 set myset {
    type ifname
    elements = {
       "clients0",  
       "dockernet"  
    }       
 }

在上面的例子中，如果你不知道类型，你甚至可以写typeof iifname代替（需要v0.9.4 或更高版本）。type ifnamenft

如何在 nftables 中按名称创建一组命名接口？

答案1

答案2

相关内容