На выходном узле с помощью nftables хочу отбрасывать пакеты c reject no-route
если сети приватные, а NIC который торчит наружу.
у меня такие правила:
table ip nat {
...
chain postrouting {
type nat hook postrouting priority srcnat; policy accept;
oif "enp4s0" ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 } goto drop_private_net
ip saddr @allowed_nat masquerade
}
chain drop_private_net {
counter packets 604 bytes 50736
drop
}
}
В принципе меня и так всё устраивает, но хочется reject добавить.
Если в drop_private_net
добавить reject with icmpx type no-route
выдаёт ошибку:
Error: abstracted ICMP unreachable not supported
reject with icmpx type no-route ~~~~~~ ^^^^^^^^
Я не совсем понимаю тип ошибки. Wiki смотрел. Пробовал icmp type net-unreacable
тоже самое. Подскажите, пожалуйста, куда смотреть чтобы решить этот вопрос.