nftablesはcrgroupv2でパス後のマッチングを実行できますか？

2つの質問に対する答えは次のとおりです。

• 通事論

  cgroupv2文字列であるパスが必要です。文字列は常に二重引用符で表示され、特殊文字が含まれている場合は必須です。これらの二重引用符は、nftシェルではなくコマンドで使用するためのものです。直接コマンド（たとえば、readを使用するファイルではない場合nft -f）の場合、これらの二重引用符自体はエスケープまたは一重引用符で囲む必要があります。それ以外の場合、シェルはそれを使用します。

  また、パスは次のように記録されます。比較的/シェルから直接提供する場合は、先行する必要はありません（とにかく再表示時に許可され削除されます）。

  socket cgroupv2 level 3 '"system.slice/system-my-service.slice/[email protected]"'
  

  最後に、nft複数のタグを持つ単一の引数を提供するのか、一度に複数の引数に単一のタグを提供するのかは重要ではありません。行のアセンブリと解析は同じです。したがって、シェルに特殊文字（here）があるときはいつでも、文字をエスケープする場所（デフォルトのチェーンの"ように）を見つけるのではなく、単一引用符ですべての行を引用します。\;

• 制限事項の解決

  出力フックでパケットにタグを付け、NAT用のポストパスフックでタグを確認できます。

  nft 'add chain ip myservice { type filter hook output priority 0; policy accept; }'
  nft 'add rule ip myservice output socket cgroupv2 level 3 "system.slice/system-my-service.slice/[email protected]" meta mark set 0xcafe'
  nft add rule ip myservice postrouting meta mark 0xcafe snat to 10.0.0.1
  

最終結果は、最初に2つの接着剤コマンドを使用して独自のファイルに配置できます。等級。独自のファイルが存在する場合、シェルの解析とのやり取りが防止され、アトミック更新が行われます。それでも"..."パスパラメータをバイパスする必要があります。nftables@役割を説明してください。

myservice.nft:

table ip myservice
delete table ip myservice

table ip myservice {
    chain postrouting {
        type nat hook postrouting priority 100; policy accept;
        meta mark 0xcafe snat to 10.0.0.1
    }

    chain output {
        type filter hook output priority 0; policy accept;
        socket cgroupv2 level 3 "system.slice/system-my-service.slice/[email protected]" meta mark set 0xcafe
    }
}

nft -f myservice.nftcgroupがすでに存在する限りロードできます（これは起動時にサービスを開始する必要があることを意味する可能性があります）。nftablesこのルールをロードします）。

結局：

• 発信するすべてのパケットはフィルタ/出力を通過します。

  • 適切な過程を経て出たものならグループパケットは0xcafeタグを受信します。

• 新しいフローの最初のパケットはすべて、nat/postrouting ルールを通過します。

  • 0xcafeタグと一致する場合（適切な場所にあることを意味）グループ）これにより、フローのSNATルールがトリガーされます（タグはもはや重要ではありません）。