有人让 nft ct 子命令工作吗？

它似乎阻止了 iptables -m contrack 的任何实际使用。 --ctstate 已建立，相关...

我正在使用nftables- iptables 的兼容版本，又名iptables-nft（您运行iptables命令，但它创建nftables规则）。如果我运行：

iptables -A example -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

那么生成的 nftables 规则集是：

table ip filter {
        chain example {
                ct state related,established counter packets 0 bytes 0 accept
        }
}

一般来说，使用包是将规则iptables-nft迁移到语法的好方法。iptablesnftables

---

如果您愿意，可以从命令行执行此操作：

# nft add chain ip filter example
# nft add rule ip filter example ct state related,established counter accept

我们可以通过运行以下命令来查看这些规则：

# nft list chain ip filter example
table ip filter {
        chain example {
                ct state established,related counter packets 0 bytes 0 accept
        }
}