从 nftables 0.9.7 开始,我知道我可以将 inet 与入口钩子一起使用,如下所示:
nft create chain inet mark-rules ttt { type filter hook ingress device "eth0" priority 0\; policy accept\;}
这与(或者我认为是)相同:
nft create chain netdev dev ttt { type filter hook ingress device "eth0" priority 0\; policy accept\;}
规则是一样的:
nft add rule inet mark-rules ttt fwd to ifb0
inet 中的输出就像(使用 netdev 可以):
Error: unsupported family
add rule inet mark-rules ttt fwd to ifb0
^^^^^^^^^^^
附言。Linux 5.10.27 nftables v0.9.8 (EDS)
我还有另一个关于优先级的问题:期望相同的链,但具有:0 表示 netdev,1 表示带有数据包元标记的 inet 钩子。据我了解,他们必须按顺序行事,但事实并非如此。