我目前正在使用 net_cls cgroup 对来自进程的数据包进行分类,然后使用 iptables 对其进行处理。从内核和 systemd 人员的角度来看,net_cls 似乎已被弃用,其他工具(如 nftables)应该做同样的事情。我检查了 nftables,看起来我可以使用 cgroups 匹配(就此而言,iptables 也可能有效),但我不清楚我的 cgroup 是什么。有人知道那个 cgroup 是什么吗?我需要创建一个吗?我可以利用 systemd 或其他东西的现有 cgroup 吗?