nftables에서 일치하는 컬렉션을 무효화할 수 있나요?

tag-icon tag-icon nftables
nftables에서 일치하는 컬렉션을 무효화할 수 있나요?

ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 }에 규칙을 적용하고 싶지만 규칙에서 제외하려는 구체적인 IPv4 주소가 두 개 더 있다고 가정해 보겠습니다 . 어떻게 해야 하나요?

이 작업을 수행하는 좀 더 우아한 방법이 있기를 바랍니다.

ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 } \
  ip daddr != 10.0.1.2 \
  ip daddr != 10.0.2.3

매뉴얼 페이지에서는 nft주소 또는 범위 부정에 대해 설명하지만 이를 수행하는 방법은 표시되지 않습니다.세트.

답변1

집합의 부정은 예상대로 작동하는 것 같습니다(문서화되지 않음).

ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 } \
  ip daddr != { 10.0.1.2, 10.0.2.3 }

관련 정보