使用 statefull 模式,我从规则中收集有关包/字节数量的信息,并且不创建返回包的规则,因为它们是根据存储在 conntrack“ct state established”中的状态接受的,也就是说,我无法从返回流量中获取信息。为了不需要为数据包创建反向规则来收集这些信息,我打算为每个规则插入一个标签,以使用 conters nomed 收集这些信息。
那么问题来了:如何在 nftables 规则中为 conntrack 添加标签?
在男人conntrack 中没有示例设置标签。
答案1
在文件 /etc/nftables/connlabel.conf 中:
0 富
创建计数器:
nft add counter filter input_enp2s0
在我的桌面整理中:
nft add rule ip mangle prerouting iif enp2s0 ct label set foo
nft add rule ip filter forward iif enp2s0 ct label foo counter name input_enp2s0