那些遇到过的问题

如何使用 nftables 在一行中匹配给定端口的 UDP 和 TCP

Mic*_* TM 10 linux firewall configuration netfilter nftables

我怎样才能在一行中做到这一点?

tcp dport 53 counter accept comment "accept DNS"
udp dport 53 counter accept comment "accept DNS"
Run Code Online (Sandbox Code Playgroud)

Tot*_*tor 11

如果足够新nftables,你可以写:

meta l4proto {tcp, udp} th dport 53 counter accept comment "accept DNS"
Run Code Online (Sandbox Code Playgroud)

事实上,你可以做得更好:

set okports {
  type inet_proto . inet_service
  counter
  elements = {
    tcp . 22,  # SSH
    tcp . 53,  # DNS (TCP)
    udp . 53   # DNS (UDP)
}
Run Code Online (Sandbox Code Playgroud)

进而:

meta l4proto . th dport @okports accept
Run Code Online (Sandbox Code Playgroud)

如果您更喜欢使用端口/服务名称(来自) ,您也可以编写domain代替。53/etc/services

  • @Lethargos `th` 表示“传输标头”。`th dport` 是 `@th,16,16` 的“人类可读”快捷方式,这意味着:读取传输头中偏移量 16 处的 16 位。这是使用 TCP 或 UDP 时设置目标端口的位置。有关更多详细信息,请参阅[本文档](https://www.mankier.com/8/nft#Payload_Expressions-Raw_Payload_Expression)。 (5认同)

归档时间:

查看次数:

12761 次

最近记录:

3 年,11 月 前
相关归档
如何递归删除 Linux 中的所有空文件和目录? 17
我可以阻止创建特定名称的文件夹吗? 16
Manjaro OS 显示错误的时间 10
创建系统驱动器的可引导备份副本 6
多个 tar 进程同时写入同一个存档文件 6
将root挂载为overlayfs 6
使用多个进程写入 FIFO 5
正则表达式使用 bash 从 Json 文件中获取单个值 3
用户名显示为 root 而不是登录的用户? 1
启动时出现概率性 (~50%) 错误,涉及“错误的文件系统类型、错误的选项、错误的超级块...缺少代码页或帮助程序,或其他错误” 1
难疑归档
如何使用 ssh-add 列出添加到 ssh-agent 的密钥? 311
如何知道Linux系统的核心数? 292
apt-get 更新上的“没有可用的公钥” 156
为什么 find -mtime +1 只返回早于 2 天的文件? 154
ls -l 中的@ 是什么意思? 150
如何使用 bash 添加(减去等)两个数字? 143
为什么Linux内核有15+百万行代码? 118
交互式 shell、登录 shell、非登录 shell 及其用例之间有什么区别? 95
如何对除当前目录和父目录之外的每个隐藏文件进行 glob 88
Linux 上密码哈希的第 6 个字符是什么,为什么它经常是斜杠? 86