Migração da regra arp ebtables para nftables

Question

Migração da regra arp ebtables para nftables

#1 resposta do (0 votos)

4

Gostaria de mudar para o nftables (Ubuntu confiável, kernel 3.19). No entanto, pergunto-me como migrar regras ebtables para pacotes ARP:

-p ARP --arp-op Request --arp-ip-src 192.168.178.237 --arp-mac-src 2:fb:c5:e0:ef:a3 -j ACCEPT

O comando nft add rule bridge filter qemu1-o arp operation request counter accept funciona, no entanto, não consigo descobrir como adicionar as restrições de ip / mac à regra.

iptables nftables

por gucki 05.10.2015 / 13:10

1 resposta

Tags iptables nftables

cyrus não excluindo mensagens expurgadas ipmitool sensor: não detecta alimentação de backup

score 0 · Answer 1

Infelizmente nftables não tem sintaxe implementada para o endereço ipv4 de origem e destino nas tabelas arp agora.

Empiricamente, descobri que as próximas expressões podem ser usadas:

plen 4 @nh,64,32 (ip de origem)
plen 4 @nh,96,32 (ip de destino)

O endereço IPv4 em valor deve ser especificado em decimal integer type.

Você pode usar algum conversor on-line para obter seu endereço IP no formato numérico.

No seu exemplo, 192.168.178.237 será 3232281325

Assim, a regra final será semelhante a:

nft add rule arp filter input arp operation request arp plen 4 @nh,64,32 3232281325 ether saddr 2:fb:c5:e0:ef:a3 counter accept

PS: Você pode usar xtables-nft-multi do último pacote iptables que fornece o backend nf_tables compat para importar seus comandos antigos e verificar a nova sintaxe.