Estou preso na configuração de nftables.
table bridge filter {
chain input { type filter hook input priority -200; policy accept;}
chain forward {
type filter hook forward priority -200; policy drop;
ip protocol icmp counter accept;
}
chain output { type filter hook output priority 200; policy accept;}
Eu tenho algumas perguntas.
A regra ip protocol icmp counter accept; não funciona. O contador mostrando um pacote em um minuto ou mais e o ping não funciona.
O que estou fazendo errado?
Você deve primeiro permitir que a resolução ARP funcione. Resolução de IP local depende do ARP:
nft add rule bridge filter forward ether type arp accept
Além disso, ao tentar efetuar ping, a resolução do arp falha e você obtém algo assim em um nó que tenta atravessar a ponte:
# ip neigh show eth0
192.168.1.7 dev eth0 FAILED