J'ai cette règle nftables :
ip daddr { "0.nixos.pool.ntp.org", "1.nixos.pool.ntp.org", "2.nixos.pool.ntp.org", "3.nixos.pool.ntp.org" } udp dport ntp accept comment "Autoriser le trafic NTP pour l'heure système"L'objectif est d'autoriser le trafic NTP à partir d'un hôte qui autrement refuse la plupart du trafic (politique de rejet par défaut). Les noms d'hôtes dans la règle proviennent de la configuration NTP par défaut du système (donc ce sont les mêmes noms d'hôtes avec lesquels le démon NTP est configuré).
Cependant, cela échoue au chargement, car 0.nixos.pool.ntp.org (et les autres) ont plusieurs adresses :
$ host 0.nixos.pool.ntp.org
0.nixos.pool.ntp.org a une adresse 66.228.42.59
0.nixos.pool.ntp.org a une adresse 216.229.4.66
0.nixos.pool.ntp.org a une adresse 216.229.0.50
0.nixos.pool.ntp.org a une adresse 69.10.161.7Donc nftables se plaint et refuse de charger l'ensemble de règles :
# nft -f ...-nftables-rules
...-nftables-rules:37:16-37: Error: Le nom d'hôte se résout sur plusieurs adresses
ip daddr { "0.nixos.pool.ntp.org", ... } udp dport ntp accept comment "..."
^^^^^^^^^^^^^^^^^^^^^^Ces noms de domaine sont hors de mon contrôle. Ainsi, je ne peux pas les empêcher de se résoudre sur plusieurs adresses. Je ne sais pas non plus quand les enregistrements d'adresses associés pourraient changer.
Comment dois-je écrire mon ensemble de règles nftables pour gérer ce cas ?
