family は、ip、arp、ip6、bridge、inet、netdev テーブルタイプのいずれかを表します。
そして
typeは、生成するチェーンの種類を表します。可能なタイプは次のとおりです。
フィルタ:arp、bridge、ip、ip6、およびinetテーブルシリーズがサポートされています。
ルーティング:ipとip6でサポートされているパケットを表示します(たとえば、出力フックのマングル、他のフックは代わりにタイプフィルタを使用します)。
nat:ネットワークアドレス変換の場合、ipとip6の両方がサポートされています。
可能なチェーンタイプは次のとおりです。
データパケットをフィルタリングするために使用されるフィルタ。これは、arp、bridge、ip、ip6、inet テーブルスイートでサポートされます。
関連するIPヘッダーフィールドまたはパケットタグが変更されたときにパケットを再ルーティングするために使用されるルーティング。 iptablesに精通している場合、このチェーン型はmangleテーブルと同じ意味を提供しますが、出力フックにのみ適用されます(他のフックには型フィルタを使用)。 ip、ip6、およびinetテーブルファミリはこれをサポートします。
nat、NAT(Network Address Translation)を実行するために使用されます。特定のフローの最初のパケットだけがこのチェーンに到達し、その後のパケットはそれをバイパスします。したがって、このチェーンをフィルタリングに使用しないでください。 ip、ip6、inet テーブルファミリは nat チェーン型をサポートします。
したがって、少なくとも2つの権威ある参考資料によると、このnetdevシリーズはどの種類の接続もサポートしません。それでは、netdev家族をどのように活用しますか?
ベストアンサー1
私は初めてnftablesに触れましたが、nftablesルールにも興味があります。私はnftables wikiでこれを見つけました。https://wiki.nftables.org/wiki-nftables/index.php/Nftables_families
着信フックを使用すると、L2トラフィックをフィルタリングできます。これは、事前ルーティングの前とパケットがNICドライバから転送された後に発生します。これは、非常に初期にフィルタリング戦略を実装できることを意味します。パケットパスの非常に初期の位置は、DDoS攻撃に関連するパケットをドロップするのに理想的です。エントランスフックにチェーンを追加するときは、チェーンを取り付けるデバイスを指定する必要があります。
源泉:https://www.datapacket.com/blog/secure-your-server-with-nftables
デバイスの指定方法はこちらで確認できます。 (netdev)エントリフックを使用するためにチェーンを宣言するときにデバイス名変数をどのように使用しますか?