nftables(7)集合(SETS)

时间:2024-07-20 07:09:11

简介

 在nftables中,集合(sets)是一个非常有用的特性,它允许你以集合的形式管理IP地址、端口号等网络元素,从而简化规则的配置和管理。

nftables提供了两种类型的集合:匿名集合和命名集合。

匿名集合(Anonymous Sets)

特点:匿名集合在规则中被直接定义,没有特定的名称。集合成员被包含在花括号{}中,元素之间用逗号,分隔。

使用场景:当你需要临时定义一个集合,且这个集合只在定义它的规则中使用时,匿名集合非常有用。

限制:一旦包含匿名集合的规则被删除,该匿名集合也会随之消失。此外,匿名集合一旦定义就无法更新,即不能添加或删除元素,除非修改或删除使用该匿名集合的规则。

命名集合(Named Sets)

特点:命名集合需要在规则中引用之前先定义。与匿名集合不同,命名集合的元素可以在任何时间被添加或删除。

使用场景:当你需要在一个或多个规则中频繁引用同一组网络元素时,命名集合非常有用。通过更新命名集合,你可以轻松地管理这些元素,而无需修改引用它们的规则。

引用方式:在规则中引用命名集合时,需要在集合名称前加上@符号。

集合操作

集合的行为可以通过在创建集合时指定的标志(flags)进行调整

操作行为

Operation Description
add 在指定表中添加一个新的集合。查看下面的集合规格表以获取更多关于如何指定集合属性的信息。
delete 删除指定的集合。如果集合不存在,则可能会失败。
destroy 删除指定的集合。如果集合不存在,则不会失败。
list 显示指定集合中的元素。
flush 从指定集合中移除所有元素。
reset 重置所有包含元素的状态,例如计数器和配额语句的值。

集合规格(Set Specifications)

Keyword Description Type
type 集合元素的数据类型 string: ipv4_addr, ipv6_addr, ether_addr, inet_proto, inet_service, mark
typeof 用于从表达式中推导集合元素的数据类型(较少见,可能特定于实现) expression
flags 集合的标志,描述集合的属性 string: constant, dynamic, interval, timeout
timeout 元素在集合中保留的时间(如果集合用于数据包处理) string, decimal followed by unit (d, h, m, s)
gc-interval 垃圾收集间隔(当使用timeout或flag timeout时) string, decimal followed by unit (d, h, m, s)
elements 集合包含的元素(通常在添加时指定) set data type (depends on 'type')
size 集合中元素的最大数量(如果集合用于数据包处理) unsigned integer (64 bit)
policy 集合的策略,优化存储和访问性能 string: performance (default), memory
auto-merge 自动合并相邻/重叠的集合元素(仅适用于interval集合) boolean or specific parameters

配置集合

配置匿名集合

大家可以回顾一下,我们在iptables和firewalld中如何使用集合的功能的?当匹配一类信息的时候在iptables和firewalld中我们可以使用ipset来实现对应的功能,但是在nftables中,直接就可以使用集合来实现。

其实匿名集合在我们上篇文章配置比如端口范围的时候就已经使用过,例如允许来自源 IP地址为 192.168.140.10-192.168.140.20这个区间内的主机的流量

如图所示,该规则从192.168.140.10-192.168.140.20来的流量会被accept
允许来自IP范围192.168.140.25到192.168.140.35以及IP地址192.168.149.37,并且目的端口为10000、10005以及10010到10015的流量

配置命名集合

命名集合是在规则中引用之前需要首先定义集合。与匿名集合不同,元素可以随时添加到命名集合或从命名集合中删除。使用集名称前的@前缀从规则中引用集和。

创建集合

add set [family] table set { type type | typeof expression ; [flags flags ;] [timeout timeout ;] [gc-interval gc-interval ;] [elements = { element[, ...] } ;] [size size ;] [comment comment ;] [policy 'policy ;] [auto-merge ;] }
{delete | destroy | list | flush | reset } set [family] table set
list sets [family]
delete set [family] table handle handle
{add | delete | destroy } element [family] table set { element[, ...] }
具体参数含义在我们上面集合操作中有具体介绍

配置举例

例如,现在需要创建一个类型为Ipv4地址的集合

创建了一个名为allow-host的集合,类型为ipv4_addr,comment为该集合的描述信息。如果要删除该集合,可以通过nft delete set filter allow-host命令来删除

向集合中添加元素,即允许的地址信息

向集合中添加地址192.168.140.41,43,如果再次添加45只需要增加45就行,添加的信息都会在这个集合中。


引用集合

通过@来引用我们创建的集合

前面我们都是先创建集合,然后添加元素、引用集合,其实也可以一步到位,直接创建集合并添加元素信息。如下所示:

root@debian:~# nft add set ip filter allow-host2 { type ipv4_addr\; elements={ 192.168.142.1,192.168.142.2 }\;  comment \"accept all packets from these ip\"  \; }
直接通过elements={}添加对应的元素信息,此时就不需要再次通过元素添加命令添加元素

集合flags

我们前面创建的集合allow-host,我们都是添加的单个IP地址,如果要给此集合中添加连续的IP地址,或者网段会发生什么呢?

在使用 nftables(nft)时,如果你尝试向一个集合(set)中添加元素,需要确保该集合是以正确的方式声明的,以便它能够接受你想要添加的元素类型(如IP地址范围或CIDR块)。错误信息提示,试图向一个集合中添加IP地址范围或CIDR块,但集合没有被正确地声明为接受这种类型的元素。需要添加flags interval参数。

添加一个sets,名为iprange,设置flags参数为interval,然后添加IP地址范围和ip地址网段,那么此时如果给该集合中添加一个单独的IP地址可以吗?当然是可以的,因为这个已经包含了可以设置单个ip地址,我们试试看。
此时添加的192.168.140.50也已经添加成功了。

集合auto-merge

自动合并相邻/重叠的集合元素,这只对区间集和有效。如上图所示,如果我们在一个集合中创建了很多单独IP地址,但是这些IP地址是连续的,那么通过auto-merge就可以将连续的IP地址合并起来。

如上图所示,通过auto-merge就可以将单个的连续元素进行合并
通过nft get element命令可以查看该集合中是否包含该元素信息,这在集合中元素信息非常多的时候还是比较有用的。

上面都是ip地址,当然端口号也适用该配置,如下所示:

使用端口号指的是服务,所以type字段要修改为inet_service,通过auto-merge也可以将端口号进行合并。

查看集合信息

可以通过nft list sets命令查看所有集合,也可以通过nft list set _____后面跟上对应的表和集合名称进行查看。这个我们在上面都有演示,再次不在重新展示了。

那么我如果想要看某个元素有没有在集合中,该如何查看呢?

高级参数配置

集合timeout

它决定了元素在集合中停留的时间。时间字符串遵循如下格式:"dhms":

创建了一个名为 allow-ports 的集合,类型为 inet_service,表示存储网络服务(如端口号)的集合。该集合设置了超时时间为 10 小时 35 分钟 10 秒

Element timeouts 

集合元素有两个属性:
timeout:该时间值,以秒(s)、分(m)、小时(h)或它们的组合(hms)为单位。
expires:该值是一个倒计时时间计数器,从超时值开始,可以从数据包路径中重置,或者当达到0值时将删除该元素。

注意在elements设置timeout需要声明集合flgas 包含timeout,此时元素就包含了timeout,expires随着时间的推移,这个计时器会变化。
那么这个超时时间到期会怎么样?因为这个表示的是元素的有效时间,所以当超时时间到期后,该元素信息就会被自动删除

此时超时的元素信息已经被删除了。

那么在此集合中我如果要设置端口范围该如何操作呢?

我们前面在添加连续ip地址或端口的时候是需要interval参数的,现在我们这个set已经有了timeout参数,那么如何继续添加interval参数呢?参数之间通过,隔开就可以

总结

集合(sets)是一种非常重要的数据结构,用于存储一组元素,如IP地址、端口号、MAC地址等,以便在规则中引用。集合的使用可以极大地简化防火墙规则的配置,提高管理效率。通过合理使用集合,可以简化规则配置、提高管理效率,并增强防火墙的灵活性。