问题标签 [nftables]

请求有关 nftables 的帮助。

在使用配置命令时。低于错误。

Debian - 10。

确认安装了 nft 和依赖包。

按顺序尝试以下命令：

以下是上述 2) 添加命令的调试输出

类似的“不支持操作”错误也适用于 1)。

感谢你的帮助。

谢谢大家，

桑托什

我想知道是否有人找到了这样做的方法。我已经能够使用 nftables 为我的 DNAT 规则创建一个集合，但是我无法实现我真正想要的。这是我到目前为止的集合：

但是我真正想要实现的是这样的

但是 Nftables 真的不喜欢这种格式，所以有没有人能够制作一个允许元素同时具有 daddr 和 dport 以及 dnat daddr 和端口的映射？假设 ofc 元素看起来像这样（是的，我需要 dnat addr 上的不同端口）：

我在 Buster 主机上安装了 Debian 10 (Buster) KVM 客户机。尝试在Debian wikiiptables之后切换到 VM上的旧版

当其他三个成功时，arptables更新失败并显示消息

有解决方法吗？

如果您好奇，来宾机器是使用 kubeadm 启动的 Kubernetes (v1.18) 集群的节点。网络插件是Calico。除了MetalLB控制器错误之外，一切都使用默认nftables设置

当我ping 10.96.0.1来自来宾虚拟机时，我得到

我正在接收消息

内核为 5.4.23，nftables 版本为 0.9.3。我如何为那个 ct 状态分配一个助手？

我似乎找不到任何解释如何配置 nftables 以允许 unix 套接字进行直通的文档。我有一个运行 LDAP 服务器的 CentOS 8 机器，并且像 ldapsearch/ldapwhoami 这样的本地命令会失败，除非我禁用 nftables 或手动将其定向到环回 IP 地址。非常感谢朝着正确方向迈出的任何一步。

来自https://wiki.nftables.org/wiki-nftables/index.php/Configuring_chains

注意：如果一个数据包被接受并且在同一个钩子中有另一个以更高优先级排序的基本链，则将再次评估该数据包。也就是说，数据包将遍历给定钩子中的链，直到它被丢弃或不再存在基本链。Drops 立即生效，不再评估规则或链。

此行为的示例规则集：

问题是我怎样才能让 ssh 数据包被接受并仍然使用具有相同钩子（和不同优先级）的多个基本链？

我试图添加一个非基础链，它接受并使用跳转或转到该基础链。两者似乎都不起作用。恐怕我错过了线索。

有我的测试nft 规则集，除了表 inet 测试之外的所有工作， 但表f2b-table非常相似（除了 drop vs accept）并且工作正常：

我在 tcpdump 中看到包，当我在表 inet 测试中计数时看到包，但不接受包。我做错了什么？

我想在 R 中重新排序 ftable 的行和列。目前该表如下所示：

现在我想切换行/列，以便首先显示“1”的计数，然后显示“0”的计数。例如，行“antib”应该切换，以便计数为“1”的行显示在计数为“0”的上方。

有没有办法做到这一点？

我使用了以下代码和数据：

我使用的数据集可以在这里下载： Dataset

谢谢你的帮助！

这是通过为app1<mixed rules>运行安装程序创建的一系列复杂的接受和拒绝规则，我希望在这些规则之上添加一些允许规则以使app2工作。

应该变成：

使用一些（不清楚，待定）变体：

应该在哪里（如何？）position 2指定？留下它会创建一个链环，但不在表格中的正确位置。简单地将跳转添加到底部是行不通的，拒绝规则会捕获各种应该被接受的流量。我也不希望它被添加到列表的顶部。在命令中的任何地方绑定position 2只会导致各种无用的错误消息。

或者，是否有一些安全的语法来交换现有规则的位置，在指定句柄之前或之后移动它？

像https://unix.stackexchange.com/questions/396218/block-wan-access-allow-lan-access-linux-hosts但使用 nftables 的东西，删除了对万维网/的组访问

我尝试使用 iptable-translate 将多个解决方案翻译成 nftables，但它从来没有奏效，我总是可以 ping 8.8.8.8 或www.google.com。