LED를 깜박이기 위해 일부 방화벽 규칙을 만들어야 하는 이상한 시나리오가 있습니다. 지금까지 나는 항상 iptables를 사용하여 이 작업을 수행할 수 있었습니다.
iptables -A INPUT -p tcp --dport 443 -j LED --led-trigger-id mytrigger
여태까지는 그런대로 잘됐다. 그러나 새로운 문제가 있습니다. 여러 가지 이유로 이제 체인이 input아닌 체인에서 ingress이러한 규칙을 만들어야 합니다 . 이 규칙은 (내가 아는 한) nftables를 통해서만 생성하고 관리할 수 있습니다. 그러나 LED 생성 규칙을 사용하는 방법을 평생 알아낼 수는 없습니다 nft.
내가 만든 규칙을 사용하여 iptables의 출력을 살펴본 nft list chain filter INPUT결과는 다음과 같습니다.
table ip filter {
chain INPUT {
type filter hook input priority filter; policy accept;
tcp dport 443 counter packets 0 bytes 0 # led-trigger-id:"myfirewalltrigger"
}
}
이것은 도움이 되지 않습니다. 해 보자 iptables-translate -A INPUT -p tcp --dport 443 -j LED --led-trigger-id myfirewalltrigger:
nft # -A INPUT -p tcp --dport 443 -j LED --led-trigger-id myfirewalltrigger
이것도 도움이 되지 않습니다.
nftables가 LED 규칙을 준수하지 못하는 이유는 무엇입니까?
답변1
LED는 iptables의 지원되지 않는 확장이고 현재 nftables에서는 지원되지 않기 때문에 이 문제가 발생한다고 생각합니다.
https://wiki.nftables.org/wiki-nftables/index.php/Supported_features_compared_to_xtables#LED
안타깝네요. 뭔가 멋진 일을 하고 있는 것 같으니까요. 해결 방법을 찾으면 이 질문을 다시 확인하세요(예: 라이브 로그를 구문 분석하고 트리거하시겠습니까?).