我已经制定了一个基于 nft 临时打开端口的解决方案:
# create the nft set
nft add set ip filter SSHallowed { type ipv4_addr\; timeout 2m \;}
# add the rule to the table
nft insert rule ip filter INPUT ip saddr @SSHallowed tcp dport 22 accept
# to add ips to the set
nft add element ip filter SSHallowed { XX.XX.XX.XX }
有什么方法可以接受来自同一 IP 并到达另一个已建立连接的目标端口的新连接,而无需运行“nft add element”?我认为这应该类似于
nft insert rule ip filter INPUT ct state related tcp dport 22
但这种方法没有奏效。
答案1
您可能缺少状态。
考虑 iptables,您将允许相关连接和已建立的连接。然后,我假设您正在寻找类似以下内容的内容:
nft insert rule ip filter INPUT ct state related,established tcp dport 22