我在配置 nftables 时遇到困难。
table bridge filter {
chain input { type filter hook input priority -200; policy accept;}
chain forward {
type filter hook forward priority -200; policy drop;
ip protocol icmp counter accept;
}
chain output { type filter hook output priority 200; policy accept;}
我有几个问题。规则ip protocol icmp counter accept;不起作用。计数器在一分钟左右显示 +1 个数据包,并且 ping 不起作用。我做错了什么?
答案1
您必须先允许 ARP 解析工作。本地 IP 解析依赖于 ARP:
nft add rule bridge filter forward ether type arp accept
否则,当尝试 ping 时,arp 解析会失败,并且您会在尝试跨桥的节点上看到类似这样的信息:
# ip neigh show eth0
192.168.1.7 dev eth0 FAILED