iptables 可以按字符串匹配数据包。
dns 示例:
iptables -A INPUT -i eth0 -p udp --dport 53 -m string --hex-string "|09|proxypipe|03|net" --algo bm -j DROP
如何在 nftables 中执行这样的匹配?
如何使用 nftables 跟踪 nat 传出连接。只需要查看 nat stats,或多或少使用了哪些输出地址。
root@nat-1:~# nft list table nat
table ip nat {
chain post {
type nat hook postrouting priority 100; policy accept;
ip saddr 10.0.0.0/8 oif "bond0.926" snat to 19.246.159.1-19.246.159.7
}
chain pre {
type nat hook prerouting priority -100; policy accept;
}
}
netstat-nat 适用于 iptables,但不再适用于 nftables。
netstat-nat -S
Could not read info about connections from the kernel, make sure netfilter is enabled in kernel or by modules.
我当然可以使用 tcpdump,但应该有一些更好的实用程序 ;-)
我想匹配一组网络。匿名集工作正常,但我想创建前缀集以在需要时重用它。
nft add set filter AllowedSSH { type ipv4_addr\;} // type for addreses
nft add element filter AllowedSSH { 10.0.0.0/8 } // not working
nft add element filter AllowedSSH { 10.0.0.1 } // works by IP
我应该使用哪种正确类型的过滤器来执行此操作?
变量样式也不起作用:
nft define networks = { 10.0.0.0/8 }
nft add rule ip filter input ip saddr $networks tcp dport 22 accept
Error: syntax error, unexpected dport, expecting end of file or newline or semicolon
add rule ip filter input ip saddr tcp dport 53 counter accept
^^^^^
NFT 版本:
[root@foo ~]# nft -v
nftables v0.8 (Joe Btfsplk)
提前致谢。
我正在尝试使用选择性 QinQ 打包一些 vlan。我需要将 VID 19,18 注入 VID 15。
#Port facing SP
interface ethernet 1/18
switchport allowed vlan add 15 tagged
switchport dot1q-tunnel mode uplink
description Dot1Q-OneVlan
# Switch Uplink Port
interface ethernet 1/11
switchport allowed vlan add 15,19,18 untagged
switchport dot1q-tunnel mode access
switchport dot1q-tunnel service 15 match cvid 19
switchport dot1q-tunnel service 15 match cvid 18
description Pure-Tagged-VLAN
所有 QinQ 都运行良好,但我有一些不需要注入到 15 的 vlan。例如,我希望端口 1/11 上有 VID 100 以将流量发送到我的访问客户端端口 1/2。
如何打包 vlan 19,18 到 15 并原封不动地转发 vlan 100,200?
我在虚拟游乐场测试 Junos Subscriber Manager。一切似乎都很好,并且可以在真实硬件上按预期工作。但是带有源类 sclass_mytest 选项的动态配置文件不起作用。
如果我只禁用一行“source-class sclass_mytest”,一切都会变得正常,并且客户端会收到带有应用动态配置文件的 IP 地址。
使用源类 sclass_mytest 客户端根本无法获得 IP 地址 - 因为配置文件问题。
有谁知道如何调试配置文件并查看日志错误/警告?
动态配置文件配置摘录:
firewall {
family inet {
filter "$inet_in" {
interface-specific;
term service {
from {
service-filter-hit;
}
then accept;
}
term First{
from {
source-class sclass_mytest;
}
then {
policer "$policer_in";
service-accounting;
service-filter-hit;
accept;
}
}
term Last{
then accept;
}
}
}
...
看起来源类在路由表中有标记:
所有带有 community: 7:1 的前缀都标有 sclass_mytest
inet.0: 29 destinations, 29 routes (29 active, 0 holddown, 0 hidden)
1.0.4.0/22 (1 entry, 1 announced)
TSI:
KRT in-kernel 1.0.4.0/22 -> {50.0.0.1}
Source class: sclass_mytest
*BGP Preference: 170/-191
Next hop type: Router, Next hop index: 662
Address: 0xc808710
Next-hop reference count: 48
Source: 50.0.0.1
Next hop: 50.0.0.1 via ae0.100, selected
Session Id: 0x142
State: <Secondary Active Ext>
Peer AS: 123456
Age: 14:16 Metric: 0
Validation State: unverified
Task: BGP_123456_789.50.0.0.1
Announcement bits (1): 0-KRT
AS path: 123456 I
Communities: 7:1
Accepted
Localpref: 195
Router ID: 2.21.89.1
Primary Routing Table testrt.inet.0
每个人
cisco WS-C4948-10GE (MPC8540) 上的多播出现问题。
我有两个开关在运行:
系统镜像文件为“bootflash: cat4000-i5k91s-mz.122-25.EWA9.bin ”,系统镜像文件为“bootflash: cat4500-entservicesk9-mz.122-46.SG.bin ”
两者都面临同样的问题。我已经使用具有多播功能的 vlan 100 配置了几个端口。然后它将多播泛洪到具有 vlan 100 的所有端口,消耗 50Mb/s 的链路带宽。
Swtich-2#show ip igmp snooping
Vlan 100:
--------
IGMP snooping : Enabled
IGMPv2 immediate leave : Disabled
Explicit host tracking : Enabled
Multicast router learning mode : pim-dvmrp
CGMP interoperability mode : IGMP_ONLY
Swtich-2#show mac address-table interface gigabitEthernet 1/7
Unicast Entries
vlan mac address type protocols port
-------+---------------+--------+---------------------+--------------------
100 64d1.5415.8a7b dynamic ip GigabitEthernet1/7
Multicast Entries
vlan mac address type ports
-------+---------------+-------+--------------------------------------------
100 ffff.ffff.ffff system Gi1/3,Gi1/7,Po1
Swtich-2#show ip igmp snooping mrouter
Vlan ports
---- -----
100 Po1(dynamic)