添加常规链的语法nftables是:
add chain [family] <table_name> <chain_name> [{ [policy <policy> ;] [comment "text comment about this chain" ;] }]
我运行命令如下:
假设有ipclient表,根据需要修改以进行测试。
sudo nft -i
add chain ip client test { policy accept; }
错误如下:
Error: Could not process rule: Operation not supported
add chain ip client test { policy accept; }
在此输出中,错误标记(^^^^^^^)如下policy accept
以下分别是uname -r和的输出nftables --version:
6.1.0-17-amd64
nftables v1.0.6 (Lester Gooch #5)
我正在使用 Debian 12(书虫)
答案1
policy只能为由钩子直接调用的链指定,即,当数据包到达链的末尾并且无处可去时,需要某种“最终”规则。
如果它是一个没有附加钩子的链,但只能从另一个链跳转到它,那么它就不能有策略——在这种情况下的行为始终是“返回到前一个链”。
这与 iptables 行为基本相同。