Ich möchte zu nftables wechseln (Ubuntu Trusty, Kernel 3.19). Ich frage mich jedoch, wie ich ebtables-Regeln für ARP-Pakete migriere:
-p ARP --arp-op Anfrage --arp-ip-src 192.168.178.237 --arp-mac-src 2:fb:c5:e0:ef:a3 -j AKZEPTIEREN
Der Befehl nft add rule bridge filter qemu1-o arp operation request counter acceptfunktioniert, ich kann jedoch nicht herausfinden, wie ich die IP/MAC-Einschränkungen zur Regel hinzufüge.
Antwort1
Leider nftablesist derzeit keine Syntax für Quell- und Ziel-IPv4-Adressen in ARP-Tabellen implementiert.
Empirisch habe ich herausgefunden, dass stattdessen die folgenden Ausdrücke verwendet werden können:
plen 4 @nh,64,32(Quell-IP)plen 4 @nh,96,32(Ziel-IP)
Die IPv4-Adresse im Wert sollte im Dezimaltyp angegeben werden integer.
Sie können einen Online-Konverter verwenden, um Ihre IP-Adresse in ein numerisches Format zu konvertieren.
In Ihrem Beispiel 192.168.178.237wird3232281325
Die endgültige Regel sieht also folgendermaßen aus:
nft add rule arp filter input arp operation request arp plen 4 @nh,64,32 3232281325 ether saddr 2:fb:c5:e0:ef:a3 counter accept
PS: Sie können xtables-nft-multidas letzte iptables-Paket verwenden, das nf_tablesein kompatibles Backend für den Import Ihrer alten Befehle bereitstellt und die neue Syntax überprüft.