gertvdijk's questions

我想在 FreeBSD 12.3 上设置一个简单的转发规则（不是端口转发！），它根据接收接口和外出接口进行过滤。IP 网络不应成为规则的一部分，因为它就像所有类型 IP 的路由器一样。路由网络将由路由守护程序（带有 OSPF 的 BIRD）动态设置。

在使用 PF 的 FreeBSD 中，我只能按照man 5 pf.confifspec为每个过滤规则 ( [ "on" ifspec ])设置一个：

     pf-rule        = action [ ( "in" | "out" ) ]
              [ "log" [ "(" logopts ")"] ] [ "quick" ]
              [ "on" ifspec ] [ route ] [ af ] [ protospec ]
              hosts [ filteropt-list ]

我希望输入接口和输出接口的组合匹配。我怎样才能做到这一点？

在使用nft/nftables 的 Linux 中，我会这样做：

define iface_site2site = { "tun0", "tun1", "tun9" }
[...]
  chain forward {
    type filter hook forward priority 0;
    policy drop;

    iifname $iface_site2site oifname $iface_site2site accept \
      comment "Freely forward packets between site-to-site links, firewalled at final destination."
  }
[...]

在 Linux 中使用iptables我会这样做：

iptables -A [...] --in-interface tun+ --out-interface tun+ -j ACCEPT

如何在 FreeBSD 上进行上述操作？

只是要清楚; 我不是在寻找端口转发或 NAT 规则。

假设我想将规则应用于ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 }，但我想从中排除两个更具体的 IPv4 地址。我怎么做？

我希望有一些更优雅的方式来做到这一点：

ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 } \
  ip daddr != 10.0.1.2 \
  ip daddr != 10.0.2.3

正如nft手册页中解释的地址或范围的否定，但它没有显示使用sets执行此操作的方法。

在nftables中使用集合真的很酷。我目前在我的nftables.conf规则集中使用了很多这样的语句：

iifname {clients0, dockernet} oifname wan0 accept \
    comment "Allow clients and Docker containers to reach the internet"

在上面的规则{clients0, dockernet}中是一组匿名（内联）接口。我不想一遍又一遍地重复规则，我想在文件顶部定义一组接口，在 nftables 中称为命名集。手册页 (Debian Buster)显示了如何为几种类型的集合执行此操作：ipv4_addr、ipv6_addr、ether_addr、inet_proto、inet_service和mark。但是，它似乎不适用于按名称或简单的原始类型（如字符串）的接口。

我有下面的方法，但这不适用于给出的错误：

1. 省略类型：

   table inet filter {
     set myset {
       elements = {
         clients0,
         dockernet,           
       }
     }
     [...]
   }
   

   结果：Error: set definition does not specify key。

2. 使用string类型：

   table inet filter {
     type string;
     set myset {
       elements = {
         clients0,
         dockernet,           
       }
     }
     [...]
   }
   

   结果：Error: unqualified key type string specified in set definition。

真的没有办法命名我在顶部显示的匿名集吗？