问题[nftables](unix)

以下是我精简的ARP规则集，仅显示广播规则，其他规则（此处未显示）不相关。

请参阅有问题的代码注释（？）

#!/usr/sbin/nft -f

add chain arp arp_table input {
    # filter = 0
    # Packets delivered to the local system
    type filter hook input priority filter; policy drop;
}

add chain arp arp_table output {
    # filter = 0
    # Packets send by the local system
    type filter hook output priority filter; policy drop;
}

# ARP Broadcast address
define broadcast_ether = { ff:ff:ff:ff:ff:ff }

# IPv4 network address
define network_addr_4 = { 192.168.1.0/24 }

# NIC ether address
define physical_ether = { bb:c9:51:d4:4a:b6 }

# Why input to broadcast address never hits?
# This rule should handle broadcast input
add rule arp arp_table input arp daddr ether $broadcast_ether log prefix "ACCEPT input broadcast: " accept

# Why input to 00:00:00:00:00:00 hits instead?
# This rule handles input toward 00:00:00:00:00:00 from LAN
add rule arp arp_table input arp saddr ip $network_addr_4 arp daddr ether 00:00:00:00:00:00 accept

# Why output to broadcast never hits?
# This rule should handle output toward ff:ff:ff:ff:ff:ff to LAN
add rule arp arp_table output arp daddr ether $broadcast_ether log prefix "ACCEPT output broadcast: " accept

# Why output to 00:00:00:00:00:00 hits instead?
# This rule handles output toward 00:00:00:00:00:00 to LAN
add rule arp arp_table output arp saddr ether $physical_ether arp daddr ether 00:00:00:00:00:00 accept

这里有几个问题，主要问题是ARP广播流量ff:ff:ff:ff:ff:ff不存在，这就是为什么我添加了日志语句以希望捕获这种流量，但它从未出现，对于input和output流量都如此。

相反，我看到很多针对00:00:00:00:00:00地址的输入/输出，这表明该00:00:00:00:00:00地址某种程度上是广播地址。

所以主要的问题是为什么我看不到ARP指向广播地址的流量以及为什么00:00:00:00:00:00使用地址来代替？

第二个问题是，什么是00:00:00:00:00:00地址？为什么需要它以及它意味着什么？

如果我阻止来往的流量00:00:00:00:00:00（例如，通过删除这些规则），那么网络将由于此类ARP数据包被丢弃而停止运行。

这不起作用（通过 systemd 重启 nftables，它应该加载/etc/nftables.conf）：

cat /etc/nftables.d/forward/example.conf

meta oifname "eth2" ip daddr 5.6.7.8/30 accept
^^^^^^^^^^^^^^^^^^^ ~~~~
Error: Statement after terminal statement has no effect

但这也不起作用：

ip daddr 5.6.7.8/30 meta oifname "eth2" accept
^^^^^^^^^^^^^^^^^^^ ~~~~
Error: Statement after terminal statement has no effect

这也不是（使用连接示例）

ip daddr . meta oifname {5.6.7.8/30 . "eth2"} accept
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Error: Statement after terminal statement has no effect

注意：/etc/nftables.conf 的内容：

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
        chain input {
                type filter hook input priority filter;
        }
        chain forward {
                type filter hook forward priority filter;
                include "/etc/nftables.d/forward/*.conf"
        }
        chain output {
                type filter hook output priority filter;
        }
}

我该如何同时执行这两项操作？如果此 IP 范围并不总是路由到 eth2（例如，策略路由），而 eth2 不只包含此 IP 范围，那么这是否有必要？

下面的链接是解释跨链数据包流的图像nftables

网络过滤器挂钩

我了解一切，除了一件事，该图像没有说明在哪个阶段完成routing decision？

根据图像，应该在两个地方完成：

1. 在prerouting钩子之后但在input引擎盖forward之前
2. output当数据包离开本地主机进程时挂钩之前

上面的第一点是有道理的，因为后面有 2 个可能的钩子prerouting，但是对于第 2 点，不清楚要执行什么路由决策，因为来自本地进程的唯一流选项是钩子，output因此不应该有任何路由决策，而是图片说有一个。

这让我相信只有一个路由决策，即上面的第 1 点。
为什么图像指定和hookrouting decision之间的节点？local processoutput

SNAT是在钩子中完成的postrouting，根据文档“在路由之后，就在它们离开本地系统之前查看所有数据包”，
但问题是哪个路由？因为根据图像有 2 个路由决策。

顺便说一句。什么是“路由决策”（图像中的节点）我不认为那是NAT因为NAT是在prerouting和postrouting挂钩中完成的。

以下是相关示例规则集，其中包含 2 个示例nftablesNAT 规则，这些规则将 IP 从虚拟机伪装到 LAN：

#!/usr/sbin/nft -f

add table nat_4

# Sees all packets after routing, just before they leave the local system
add chain nat_4 postrouting_nat_4 {
    type nat hook postrouting priority srcnat; policy accept;
    comment "Postrouting SNAT IPv4 traffic"
}

# Masquerade all packets going from VMs to the LAN/Internet
add rule nat_4 postrouting_nat_4 meta l4proto tcp ip saddr 192.168.122.0/24 ip daddr != 192.168.122.0/24 counter masquerade to :1024-65535

# Same rule as above but without [to :PORT_SPEC]
add rule nat_4 postrouting_nat_4 meta l4proto tcp ip saddr 192.168.122.0/24 ip daddr != 192.168.122.0/24 counter masquerade

示例 IP 地址192.168.122.0/24是虚拟机运行的网络地址。

我明白了什么masquerade，它SNAT通过将源IP更改为出站接口IP来执行。
从这个意义上说，我理解上面示例中的第二条规则的作用。

我不明白的是 [to :PORT_SPEC] 声明（文档链接），在示例中（第一条规则）：masquerade to :1024-65535

具体是masquerade to :1024-65535做什么的，有必要具体说明吗？
这两条规则基本上相同还是有什么不同？
哪一个更适合通过本地主机上的虚拟交换机从虚拟机到互联网进行 NAT？

unamed set以下是我当前如何使用包含 ICMP 类型的工作示例：

#!/usr/sbin/nft -f

add table filter_4

add chain filter_4 icmp_out_4 {
    comment "Output ICMPv4 traffic"
}

define response_icmp_4 = {
    0, # Echo Reply
    3, # Destination Unreachable
    10, # Router Solicitation
    11, # Time Exceeded
    12, # Parameter Problem
    14 # Timestamp Reply
}

# Block ICMP response from localhost
add rule filter_4 icmp_out_4 icmp type $response_icmp_4 drop

我想要做的是将其转换unamed set为response_icmp_4命名集。
这是我不成功的尝试：

# Declare named set
add set filter_4 response_icmp_4 { type inet_service }

# Add ICMP type elements
add element filter_4 response_icmp_4 {
    0, # Echo Reply
    3, # Destination Unreachable
    10, # Router Solicitation
    11, # Time Exceeded
    12, # Parameter Problem
    14 # Timestamp Reply
}

创建集合可以工作，但在规则处理过程中被拒绝：

# Block ICMP response from localhost
add rule filter_4 icmp_out_4 icmp type @response_icmp_4 drop

具有以下错误输出：

错误：数据类型不匹配，预期的 ICMP 类型，表达式的类型为 Internet 网络服务

该错误是不言自明的，但问题是type我应该指定什么？因为type inet_service不起作用。

根据文档，有效的type表达式是ipv4_addr, ipv6_addr, ether_addr, inet_proto, inet_service, mark

也可以指定typeof自动派生数据类型，但这效果不佳，例如：

add set filter_4 response_icmp_4 { typeof vlan id }

哪些错误与类似错误：

错误：数据类型不匹配，预期的 ICMP 类型，表达式的类型为整数

这是一个奇怪的错误，因为ICMP type它是一个整数。

如果您还可以链接到解释这一点的文档，那将会很有帮助，因为我找不到它。

ct helper这是当前如何根据nftables 文档声明对象的工作示例

#!/usr/sbin/nft -f

add table filter_4 {
    # TODO: Can helper object be declared outside the scope of table declaration scope?
    # ct helper stateful object
    # "ftp-standard" is the name of this ct helper stateful object
    # "ftp" is the in-kernel name of the ct helper for ftp
    ct helper ftp-standard {
        type "ftp" protocol tcp;
    }
}

然后该ct helper对象用于 ex。如下：

add chain filter_4 new_out_4 {
    comment "New output IPv4 traffic"
}

# FTP (active and passive)
# Rule for initial ftp connection (control channel), setting ct helper stateful object to use
# "ftp-standard" is the name of the ct helper stateful object
add rule filter_4 new_out_4 tcp sport >1023 tcp dport 21 ct helper set "ftp-standard" accept

我想要实现的是了解ct helper在表外声明对象的语法，其方式与声明集合的方式类似。

有关如何在表声明范围之外声明集合的示例

add set filter_4 multicast_proto { type inet_proto; comment "IPv4 multicast protocols"; }
add element ip filter_4 multicast_proto { udp, igmp }

以类似的方式，我想声明ct helper对象，例如：

# Table declaration
add table filter_4

# Declare ct helper separately
add ct helper ftp-standard {
    type "ftp" protocol tcp;
}

这当然不行，ct helper像这样添加\声明的语法是什么？

似乎ct helper必须绑定到一个表（这是真的吗？），因此也许应该在上面的示例中指定表名称。

我正在运行 AlmaLinux 9，启动时我看到警告

Warning: Deprecated Driver is detected: nft_compat will not be maintained in a future major release and may be disabled

但是加载该驱动程序的是什么？我禁用了firewalld服务。我想（正确地）消除这个警告。

附加信息：

[root@server ~]# lsmod | grep  nft_compat
nft_compat             20480  14
nf_tables             278528  98 nft_compat,nft_counter,nft_chain_nat
nfnetlink              20480  2 nft_compat,nf_tables


[root@server ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
NETAVARK_FORWARD  all  --  0.0.0.0/0            0.0.0.0/0            /* netavark firewall plugin rules */

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain NETAVARK_FORWARD (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            10.88.0.0/16         ctstate RELATED,ESTABLISHED
ACCEPT     all  --  10.88.0.0/16         0.0.0.0/0

Chain NETAVARK_ISOLATION_2 (1 references)
target     prot opt source               destination

Chain NETAVARK_ISOLATION_3 (0 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0
NETAVARK_ISOLATION_2  all  --  0.0.0.0/0            0.0.0.0/0

nftables支持动态填充集，这些集记录在nftables wiki中。wiki 页面上的第一个示例如下：

table ip my_filter_table {
        set my_ssh_meter {
                type ipv4_addr
                size 65535
                flags dynamic
        }

        chain my_input_chain {
                type filter hook input priority filter; policy accept;
                tcp dport 22 ct state new add @my_ssh_meter { ip saddr limit rate 10/second } accept
        }
}

nftables上面的配置解释如下：

在此示例中，我们创建一条规则来匹配新的 TCP ssh（端口 22）连接，该规则使用名为 my_ssh_meter 的动态集将每个源 IP 地址的流量速率限制为每秒 10 个连接。

如何解读这条规则或者如何理解它？我的意思是，如果 Linux 连接跟踪子系统看到到 TCP 目标端口 22( ) 的新连接 ( ip saddr)，则带有数据的源 IP 地址 ( )limit rate 10/second会添加到命名集中。不过这套好像从来没用过？填充集合时执行的操作是否成功？my_ssh_meterct state newtcp dport 22my_ssh_meteraccept

我所做的非常简单，我使用端口转发并在 POSTROUTING 链上启用伪装：

table inet nat {
    chain prerouting {
        type nat hook prerouting priority -100; policy accept;
        ip daddr 198.51.100.105 counter dnat to 10.8.0.105 comment "host.example.com"
    }
    
    chain postrouting {
        type nat hook postrouting priority 100; policy accept;
        counter masquerade
    }
}

我的机器上有以下接口：

1: lo
2: ens18
3: ens19
4: wg0

路线是：

default via 203.0.113.1 dev ens18 onlink
10.8.0.0/24 dev wg0 proto kernel scope link src 10.8.0.1
198.51.100.0/24 dev ens19 proto kernel scope link src 198.51.100.3
203.0.113.0/24 dev ens18 proto kernel scope link src 203.0.113.134

规则是：

0:      from all lookup local
32764:  from all to 198.51.100.0/24 lookup subnets
32765:  from 198.51.100.0/24 lookup subnets
32766:  from all lookup main
32767:  from all lookup default

的输出ip route get 198.51.100.105是：

local 198.51.100.105 dev lo table local src 198.51.100.3 uid 0
    cache <local>

的输出ip route show table subnets：

default via 198.51.100.1 dev ens19
198.51.100.0/24 dev ens19 scope link src 198.51.100.3

现在，当我从外部 VPS 或家里的 DSL ping公共地址时，我可以验证不仅收到了 ICMP 数据包，而且还回复了：198.51.100.105

ICMP 请求

root@debian:~# tcpdump -i ens19 icmp
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on ens19, link-type EN10MB (Ethernet), snapshot length 262144 bytes
21:35:51.686208 IP 192.0.2.2 > 198.51.100.105: ICMP echo request, id 14855, seq 1, length 64

ICMP 回复

root@debian:~# tcpdump -i ens18 icmp
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on ens18, link-type EN10MB (Ethernet), snapshot length 262144 bytes
21:35:38.797502 IP 198.51.100.105 > 192.0.2.2: ICMP echo reply, id 5107, seq 1, length 64

但正如您所看到的，响应来自错误的接口。应该是ens19，但是使用了ens18，我不明白为什么。

1. 为什么不遵守路线/规则？子网198.51.100.0/24没有任何关系ens18，甚至是不同的VLAN。

2. 难道 nftables 不能为伪装的数据包强制使用不同的出站接口吗？

非常感谢您的帮助。

编辑： 的输出ip -br link; ip -4 -br addr; ip -4 route; ip rule; ip rule show table subnets是：

ip -br link; ip -4 -br addr; ip -4 route; ip rule; ip rule show table subnets
lo               UNKNOWN        00:00:00:00:00:00 <LOOPBACK,UP,LOWER_UP>
ens18            UP             a6:ea:02:1c:XX:XX <BROADCAST,MULTICAST,UP,LOWER_UP>
ens19            UP             ac:71:fe:18:XX:XX <BROADCAST,MULTICAST,UP,LOWER_UP>
wg0              UNKNOWN        <POINTOPOINT,NOARP,UP,LOWER_UP>
lo               UNKNOWN        127.0.0.1/8
ens18            UP             203.0.113.134/24
ens19            UP             198.51.100.3/24 198.51.100.100/24 198.51.100.101/24 198.51.100.102/24 198.51.100.103/24 198.51.100.104/24 198.51.100.105/24
wg0              UNKNOWN        10.8.0.1/24
default via 203.0.113.1 dev ens18 onlink
10.8.0.0/24 dev wg0 proto kernel scope link src 10.8.0.1
198.51.100.0/24 dev ens19 proto kernel scope link src 198.51.100.3
203.0.113.0/24 dev ens18 proto kernel scope link src 203.0.113.134
0:      from all lookup local
32764:  from all to 198.51.100.0/24 lookup subnets
32765:  from 198.51.100.0/24 lookup subnets
32766:  from all lookup main
32767:  from all lookup default
32764:  from all to 198.51.100.0/24 lookup subnets
32765:  from 198.51.100.0/24 lookup subnets

线卫

命令输出wg：

interface: wg0
  public key: XrSd2TftIpiL3zhXXX=
  private key: (hidden)
  listening port: 51820

peer: gZ89rFX6DvBtdeuYXXX=
  endpoint: 233.252.0.0:39126
  allowed ips: 10.8.0.0/24
  latest handshake: 20 seconds ago
  transfer: 3.42 MiB received, 4.08 MiB sent

命令输出systemctl status [email protected]：

● [email protected] - WireGuard via wg-quick(8) for wg0
     Loaded: loaded (/lib/systemd/system/[email protected]; enabled; preset: enabled)
     Active: active (exited) since Sat 2023-08-05 23:42:48 CEST; 14h ago
       Docs: man:wg-quick(8)
             man:wg(8)
             https://www.wireguard.com/
             https://www.wireguard.com/quickstart/
             https://git.zx2c4.com/wireguard-tools/about/src/man/wg-quick.8
             https://git.zx2c4.com/wireguard-tools/about/src/man/wg.8
    Process: 690 ExecStart=/usr/bin/wg-quick up wg0 (code=exited, status=0/SUCCESS)
   Main PID: 690 (code=exited, status=0/SUCCESS)
        CPU: 27ms

Aug 05 23:42:48 debian systemd[1]: Starting [email protected] - WireGuard via wg-quick(8) for wg0...
Aug 05 23:42:48 debian wg-quick[690]: [#] ip link add wg0 type wireguard
Aug 05 23:42:48 debian wg-quick[690]: [#] wg setconf wg0 /dev/fd/63
Aug 05 23:42:48 debian wg-quick[690]: [#] ip -4 address add 10.8.0.1/24 dev wg0
Aug 05 23:42:48 debian wg-quick[690]: [#] ip link set mtu 1420 up dev wg0
Aug 05 23:42:48 debian systemd[1]: Finished [email protected] - WireGuard via wg-quick(8) for wg0.

服务器：/etc/wireguard/wg0.conf

[Interface]
Address = 10.8.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = 8BspU4XXX=

[Peer]
PublicKey = gZ89rFX6DvBtdeuYXXX=
AllowedIPs = 10.8.0.0/24
Endpoint = 233.252.0.0:58642

对等点：/etc/wireguard/wg0.conf

[Interface]
# Client Private Key
PrivateKey = iO00+qQDXXX=
Address = 10.8.0.107/24

[Peer]
# Server Public Key
PublicKey = XrSd2TftIpiL3zhXXX=
AllowedIPs = 10.8.0.0/24
PersistentKeepalive = 25
Endpoint = 198.51.100.3:51820

[注意：不是不可替代的令牌！！]我正在尝试从iptables
转换到nftables，但“ct”子命令（超时、设置标记、状态、l3proto、期望等，但错误消息中提到了期望）未被识别在 Fedora 37 上，其 nft rpm 版本超过 1。 list 子命令也不会解析。例如nft 'list ct timeouts'不会解析，也不会解析status或l3proto。注意nft 之后的单引号子命令很重要。使用ct 期望也不起作用。

注意：手册页有零个示例，而 redhat 和 wiki 只有几个。整件事违反了 Unix 一贯的“做正确的一件事”的哲学。

提前谢谢。