我想写一个nftables规则来匹配在集合中找不到的数据包字段:
ip not ip saddr @local_networks drop
不幸的是,这给出了一个语法错误:"出乎意料!将"not"移动到语句中的其他各种可能点对错误消息没有影响。是否允许否定?
在 Debian 10 中(nftables 0.9.0 + 任何 Debian 补丁(,此语法用于丢弃源 IP 地址不在集合local_networks中的数据包:
ip saddr != @local_networks drop
我检查了源代码,发现虽然"!"和"not"都是语法元素 - 它们为它们定义了词法分析器符号,但它们没有在解析器中的任何位置使用。我想我将不得不提出增强请求。