如何添加和删除临时 nftables 接受规则

Question 1

要删除一条规则，我们需要知道它的“句柄”。使用-a以下选项时会显示此信息

nft -a list chain filter input

因此，在这种特殊情况下，需要打开然后再次关闭端口 80，我在letsencrypt“renewal-hooks”目录中使用以下脚本：

在 /etc/letsencrypt/renewal-hooks/ 中前/fw-certbot-open

#!/bin/bash

# Open firewall to let certbot renew certificates

me=$(basename "$0")

logger -t "$me" "Opening port 80 for certbot"

## Reverse order since we do inserts
nft insert rule ip filter input              tcp dport 80 counter                                accept comment \"Allow HTTP for certbot\"
nft insert rule ip filter input ct state new tcp dport 80 log prefix \"nft:ok-certbot \" group 0 accept comment \"Allow and log HTTP for certbot\"

并在“/etc/letsencrypt/renewal-hooks/邮政/fw-certbot-close”：

#!/bin/bash

# Removing firewall rules created for certbot renew certificates

me=$(basename "$0")

logger -t "$me" "Closing port 80 opened for certbot"

## Remove port 80 accept rules
for h in $(nft -a list chain filter input \
           | awk '/dport 80 .* accept .* # handle [0-9]+/ {print $NF}')
do
    nft delete rule filter input handle $h
done

这似乎有效。我仍然想知道是否有一种更简单的方法来做到这一点，而不必解析输出nft来awk获取句柄。

Answer

要删除一条规则，我们需要知道它的“句柄”。使用-a以下选项时会显示此信息

nft -a list chain filter input

因此，在这种特殊情况下，需要打开然后再次关闭端口 80，我在letsencrypt“renewal-hooks”目录中使用以下脚本：

在 /etc/letsencrypt/renewal-hooks/ 中前/fw-certbot-open

#!/bin/bash

# Open firewall to let certbot renew certificates

me=$(basename "$0")

logger -t "$me" "Opening port 80 for certbot"

## Reverse order since we do inserts
nft insert rule ip filter input              tcp dport 80 counter                                accept comment \"Allow HTTP for certbot\"
nft insert rule ip filter input ct state new tcp dport 80 log prefix \"nft:ok-certbot \" group 0 accept comment \"Allow and log HTTP for certbot\"

并在“/etc/letsencrypt/renewal-hooks/邮政/fw-certbot-close”：

#!/bin/bash

# Removing firewall rules created for certbot renew certificates

me=$(basename "$0")

logger -t "$me" "Closing port 80 opened for certbot"

## Remove port 80 accept rules
for h in $(nft -a list chain filter input \
           | awk '/dport 80 .* accept .* # handle [0-9]+/ {print $NF}')
do
    nft delete rule filter input handle $h
done

这似乎有效。我仍然想知道是否有一种更简单的方法来做到这一点，而不必解析输出nft来awk获取句柄。

Question 2

这由 mivk 提供的答案会完全按照你的要求去做。

另一种可能更容易管理的方法是使用包含临时规则的链，并在不再需要时将其刷新：

# nft add chain ip filter temporary_web
# nft insert rule ip filter INPUT tcp dport 80 counter jump temporary_web comment \"Allow HTTP for certbot\"

然后您将能够在 certbot 之前运行以下命令：

# nft insert rule ip filter temporary_web counter accept

certbot 运行后，您可以通过以下方式清除链

# nft flush chain ip filter temporary_web

Answer

这由 mivk 提供的答案会完全按照你的要求去做。

另一种可能更容易管理的方法是使用包含临时规则的链，并在不再需要时将其刷新：

# nft add chain ip filter temporary_web
# nft insert rule ip filter INPUT tcp dport 80 counter jump temporary_web comment \"Allow HTTP for certbot\"

然后您将能够在 certbot 之前运行以下命令：

# nft insert rule ip filter temporary_web counter accept

certbot 运行后，您可以通过以下方式清除链

# nft flush chain ip filter temporary_web

如何添加和删除临时 nftables 接受规则

答案1

答案2

相关内容