Me gustaría pasar a nftables (Ubuntu confiable, kernel 3.19). Sin embargo, me pregunto cómo migrar las reglas de ebtables para paquetes ARP:
-p ARP --arp-op Solicitud --arp-ip-src 192.168.178.237 --arp-mac-src 2:fb:c5:e0:ef:a3 -j ACEPTAR
El comando nft add rule bridge filter qemu1-o arp operation request counter acceptfunciona, sin embargo, no sé cómo agregar las restricciones de ip/mac a la regla.
Respuesta1
Lamentablemente, nftablesen este momento no tenemos una sintaxis implementada para las direcciones IPv4 de origen y destino en las tablas arp.
Empíricamente descubrí que se pueden usar las siguientes expresiones:
plen 4 @nh,64,32(IP de origen)plen 4 @nh,96,32(IP de destino)
La dirección IPv4 en el valor debe especificarse en integertipo decimal.
Puede utilizar algún convertidor en línea para obtener su dirección IP a formato numérico.
En tu ejemplo 192.168.178.237será3232281325
Entonces la regla final se verá así:
nft add rule arp filter input arp operation request arp plen 4 @nh,64,32 3232281325 ether saddr 2:fb:c5:e0:ef:a3 counter accept
PD: puede utilizar xtables-nft-multiel último paquete de iptables que proporciona nf_tablescompatibilidad para importar sus comandos antiguos y verificar la nueva sintaxis.