nft ctサブコマンドを実行した人はいますか?

nft ctサブコマンドを実行した人はいますか?

iptablesからnftablesに変換しようとしていますが、以前にnft rpmバージョン1がインストールされているFedora 37では、サブコマンド(、、ctなど)timeoutsがエラーメッセージに期待されているものは認識されません。 list サブコマンドも解析されません。たとえば、構文も解析されません。 AFTERサブコマンドは一重引用符に注意することが重要です。それも動作しません。setmarksstatusl3protoexpectations
nft 'list ct timeouts'statusl3proto
nftct expectations

注:マニュアルページにはまったく例がありませんが、redhatとwikiにはいくつかの例しかありません。すべては「正しいことをしなさい」というUnixの哲学に反する。

答え1

iptables -m contrackの実際の使用を妨げているようです。 --ctstateが作成されました。関連...

使っていますnftables- iptables互換バージョン、別名iptables-nft(コマンドを実行しますiptablesnftablesルールが生成されます)。私が実行した場合:

iptables -A example -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

その後、生成されたnftablesルールセットは次のようになります。

table ip filter {
        chain example {
                ct state related,established counter packets 0 bytes 0 accept
        }
}

一般に、パッケージを使用することは、iptables-nft規則を文法に移行する良い方法です。iptablesnftables


必要に応じて、コマンドラインからこれを行うことができます。

# nft add chain ip filter example
# nft add rule ip filter example ct state related,established counter accept

次のコマンドを実行して、これらのルールを表示できます。

# nft list chain ip filter example
table ip filter {
        chain example {
                ct state established,related counter packets 0 bytes 0 accept
        }
}

関連情報