主页 / unix / 问题 / 517271
Accepted
gertvdijk
Asked: 2019-05-06 12:34:46 +0800 CST

我可以在 nftables 中匹配一组负数吗?

  • 772

假设我想将规则应用于ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 },但我想从中排除两个更具体的 IPv4 地址。我怎么做?

我希望有一些更优雅的方式来做到这一点:

ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 } \
  ip daddr != 10.0.1.2 \
  ip daddr != 10.0.2.3

正如nft手册页中解释的地址或范围的否定,但它没有显示使用sets执行此操作的方法。

nftables

1 个回答

  1. Best Answer

    似乎集合的否定按预期工作(未记录):

    ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 } \
  ip daddr != { 10.0.1.2, 10.0.2.3 }
    • 3

相关问题