nftables 相对于 iptables 的主要优势之一是“通过新的 inet 系列简化双栈 IPv4/IPv6 管理,允许您注册同时查看 IPv4 和 IPv6 流量的基本链。”(来自 netfilter 网站)
我想知道您如何在具有 IPv4 和 IPv6 的双栈 LAN 上部署数据包过滤器规则。假设您要过滤地址为 192.168.1.100 和 2003:f9:e101::1 的双栈系统。显然可以有两个规则,一个用于 IPv4,一个用于 IPv6:
nft add rule inet table filter ip6 saddr 2003:f9:e101::1 reject
nft add rule inet table filter ip saddr 192.168.1.100 reject
但有没有更方便的方法不是是否有针对 IPv4 和 IPv6 分开的规则?
答案1
据我所知不可能:
尚不支持混合 IPv6/IPv4 符号的语法