我正在关注教程https://wiki.nftables.org/wiki-nftables/index.php/Main_Page
这就是我所做的。
#uname -a
Linux delor 4.9.0-0.bpo.6-amd64 #1 SMP Debian 4.9.88-1+deb9u1~bpo8+1 (2018-05-13) x86_64 GNU/Linux
# sudo nft add table ip filter
# sudo nft add chain ip filter output { type filter hook input priority 0 \; }
# sudo nft add chain ip filter input { type filter hook input priority 0 \; }
# sudo nft add rule filter output ip daddr 8.8.8.8 counter
# ping -c 1 8.8.8.8
# sudo nft -nn list table filter
table ip filter {
chain output {
type filter hook input priority 0; policy accept;
ip daddr 8.8.8.8 counter packets 0 bytes 0
}
chain input {
type filter hook input priority 0; policy accept;
}
}
我们看到表格已设置(如教程中所示)。然而计数器并没有增加。
我错过了什么?我是否应该做其他事情来启用它?
答案1
你的输出链正在使用输入钩。所以它实际上是第二条链输入。它的名字并不重要。重要的是它的钩子:输入。
改用:
# sudo nft add chain ip filter output { type filter hook output priority 0 \; }