IPSet

Описание

IPSet представляет собой структуру данных, позволяющую хранить и организовывать множество элементов для использования в правилах nftables. Он используется для обработки больших списков элементов с минимальными затратами на ресурсы. В нашем случае IPSet формируется для описания массива IP-адресов, относящихся к FQDN или Security Groups, для дальнейшего использования в описаниях правил.

Наименование параметра	Описание	Значения
IPSet_Name	Наименование IPSet	Должно соответствовать одному из шаблонов: NetIPv4-${NAME} - для описания массивов IP адресов типа v4 NetIPv6-${NAME} - для описания массивов IP адресов типа v6
type	Описывает тип данных	Могут быть установлены следующие значения: ipv4_addr - для описания массивов IP адресов типа v4 ipv6_addr - для описания массивов IP адресов типа v6
flags	Описывает свойства IPSet	Установлены следующие значения: constant - флаг используется если значение элементов в множестве являются постоянными и не могут быть изменены interval - флаг используется для создания диапазона элементов множества
elements	Указывает массив содержащихся в IPSet элементов подсетей (CIDR)	Значения CIDR, в случае нескольких значений перечисляются через запятую

Шаблон

set ${IPSet_Name} {
    type ${type}
    flags ${flags}
    elements ${elements}
}

Пример использования

Security Group

set NetIPv4-sg-local-example {
    type ipv4_addr
    flags constant,interval
    elements = { 10.168.24.0/23 }
}

FQDN

set NetIPv4-fqdn-example.com {
    type ipv4_addr
    flags interval
    elements = { 10.10.24.0 }
}