Умеет ли nftables в string match?

1

1

Решил освоить этот новомодный nftables, но так и не нашел информации по аналогу -m string из iptables: хочу прозрачно редиректить все DNS запросы по зоне .onion на порт, где слушает Tor. В iptables я мог сделать так:

iptables -t nat -A PREROUTING -p udp --dport 53 -m string \
  --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 9030
iptables -t nat -A OUTPUT -p udp --dport 53 -m string \
  --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 9030

Но как провернуть подобное с nftables?

Ссылка

←	Policy routing stopped working

Заворачивание траффика в виртуальную машину остальных виртуалок

→

НЯЗ, никак. Поставь безусловный редирект на какой-нить powerdns/dnsbalancer/etc, а потом делай condition forward куда надо.

post-factum ★★★★★
(13.12.19 23:17:12 MSK)

1 Unsupported extensions

  1.1 matches: xt
    1.1.1 bpf
    1.1.2 cluster
    1.1.3 rateest
    1.1.4 string
    1.1.5 u32

vvn_black ★★★★★
(13.12.19 23:28:04 MSK)

Ссылка

Ответ на: комментарий от post-factum 13.12.19 23:17:12 MSK

Поставь безусловный редирект на какой-нить powerdns/dnsbalancer/etc, а потом делай condition forward куда надо.

Жесть какая-то. В случае с iptables я обходился без этого. Видимо рано еще закапывают.

Meyer ★★★★★
(14.12.19 00:11:57 MSK) автор топика

Ответ на: комментарий от Meyer 14.12.19 00:11:57 MSK

Ну тебе L7 как бы никто и не обещал :).

post-factum ★★★★★
(14.12.19 14:29:57 MSK)

Ответ на: комментарий от post-factum 14.12.19 14:29:57 MSK

Как всегда у хипсторов: рабочее решение закапывают, а новое до конца не допилили. Выкрутился с помощью unbound.

Meyer ★★★★★
(14.12.19 15:34:20 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Policy routing stopped working

Admin

Заворачивание траффика в виртуальную машину остальных виртуалок

→

Похожие темы