我可以在 nftables 中否定匹配集合吗?

tag-icon tag-icon nftables
我可以在 nftables 中否定匹配集合吗?

假设我想将规则应用于ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 },但我想从中排除两个更具体的 IPv4 地址。我怎么做?

我希望有一些更优雅的方式来做到这一点:

ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 } \
  ip daddr != 10.0.1.2 \
  ip daddr != 10.0.2.3

正如手册页中nft关于地址或范围否定的解释,但它没有显示一种方法来做到这一点

答案1

看来集合的否定按预期工作(未记录):

ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 } \
  ip daddr != { 10.0.1.2, 10.0.2.3 }

相关内容