nft ct 하위 명령을 실행한 사람이 있나요?

tag-icon tag-icon nftables
nft ct 하위 명령을 실행한 사람이 있나요?

iptables에서 nftables로 변환하려고 하는데 이전에 nft rpm 버전 1이 설치된 Fedora 37에서 ct하위 명령( timeouts, setmarks, statusl3proto. expectations그러나 오류 메시지에 기대치가 언급되어 있음)이 인식되지 않습니다.
list 하위 명령도 구문 분석되지 않습니다. 예를 들어 또는 구문도 nft 'list ct timeouts'구문 분석되지 않습니다 . AFTER 하위 명령은 작은따옴표에 유의하는 것이 중요합니다 . 그것도 작동하지 않습니다.statusl3proto
nftct expectations

참고: 매뉴얼 페이지에는 예제가 전혀 없지만 redhat과 wiki에는 몇 가지 예제만 있습니다. 모든 것은 "올바른 일을 하라"는 유닉스 철학에 어긋난다.

답변1

iptables -m contrack의 실제 사용을 방해하는 것 같습니다. --ctstate가 생성되었습니다. 관련됨...

나는 사용하고있다nftables- iptables 호환 버전, 일명 iptables-nft(명령을 실행 iptables하지만 nftables규칙이 생성됨). 내가 실행하면 :

iptables -A example -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

그러면 생성된 nftables 규칙 세트는 다음과 같습니다.

table ip filter {
        chain example {
                ct state related,established counter packets 0 bytes 0 accept
        }
}

일반적으로 패키지를 사용하는 것은 iptables-nft규칙을 문법으로 마이그레이션하는 좋은 방법입니다.iptablesnftables

원하는 경우 명령줄에서 이 작업을 수행할 수 있습니다.

# nft add chain ip filter example
# nft add rule ip filter example ct state related,established counter accept

다음 명령을 실행하여 이러한 규칙을 볼 수 있습니다.

# nft list chain ip filter example
table ip filter {
        chain example {
                ct state established,related counter packets 0 bytes 0 accept
        }
}

관련 정보