我有一个 IPtables 匹配为-m policy --dir out --pol ipsec --mode tunnel --tunnel-src 1.1.1.2 --tunnel-dst 1.1.1.1。我知道此匹配在兼容模式下与 nftables 兼容xt "policy",但我需要使用 nftables 语法,以便仅使用nft并从中备份。
而且nftables v0.9.3 (Topsy)它不支持兼容模式xt "policy"。我也试过了,ipsec out ip saddr 1.1.1.2 ip daddr 1.1.1.1但似乎既不能在这个版本上运行,也不能nftables v1.0.9 (Old Doc Yak #3)像预期的那样运行。
像 这样的前缀
ipsec out ...需要在两种情况下重复。否则,第二个会被解析为独立的ip daddr。