Eu gostaria de mudar para o nftables (Ubuntu confiável, kernel 3.19). No entanto, gostaria de saber como migrar regras ebtables para pacotes ARP:
-p ARP --arp-op Solicitação --arp-ip-src 192.168.178.237 --arp-mac-src 2:fb:c5:e0:ef:a3 -j ACEITAR
O comando nft add rule bridge filter qemu1-o arp operation request counter acceptfunciona, mas não consigo descobrir como adicionar as restrições ip/mac à regra.
Responder1
Infelizmente, nftablesnão há sintaxe implementada para endereços IPv4 de origem e destino em tabelas arp no momento.
Empiricamente descobri que as seguintes expressões podem ser usadas:
plen 4 @nh,64,32(IP fonte)plen 4 @nh,96,32(ip de destino)
O endereço IPv4 em valor deve ser especificado em integertipo decimal.
Você pode usar algum conversor online para obter seu endereço IP em formato numérico.
No seu exemplo 192.168.178.237será3232281325
Portanto, a regra final será semelhante a:
nft add rule arp filter input arp operation request arp plen 4 @nh,64,32 3232281325 ether saddr 2:fb:c5:e0:ef:a3 counter accept
PS: Você pode usar xtables-nft-multio último pacote iptables que fornece nf_tablesbackend de compatibilidade para importar seus comandos antigos e verificar a nova sintaxe.