iptablesからnftablesに変換しようとしていますが、以前にnft rpmバージョン1がインストールされているFedora 37では、サブコマンド(、、ctなど)timeoutsがエラーメッセージに期待されているものは認識されません。
list サブコマンドも解析されません。たとえば、構文も解析されません。 AFTERサブコマンドは一重引用符に注意することが重要です。それも動作しません。setmarksstatusl3protoexpectationsnft 'list ct timeouts'statusl3protonftct expectations
注:マニュアルページにはまったく例がありませんが、redhatとwikiにはいくつかの例しかありません。すべては「正しいことをしなさい」というUnixの哲学に反する。
ベストアンサー1
iptables -m contrackの実際の使用を妨げているようです。 --ctstateが作成されました。関連...
使っていますnftables- iptables互換バージョン、別名iptables-nft(コマンドを実行しますiptablesがnftablesルールが生成されます)。私が実行した場合:
iptables -A example -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
その後、生成されたnftablesルールセットは次のようになります。
table ip filter {
chain example {
ct state related,established counter packets 0 bytes 0 accept
}
}
一般に、パッケージを使用することは、iptables-nft規則を文法に移行する良い方法です。iptablesnftables
必要に応じて、コマンドラインからこれを行うことができます。
# nft add chain ip filter example
# nft add rule ip filter example ct state related,established counter accept
次のコマンドを実行して、これらのルールを表示できます。
# nft list chain ip filter example
table ip filter {
chain example {
ct state established,related counter packets 0 bytes 0 accept
}
}