Насколько я знаю (я не разработчик nftables, знания приходят только из изучения вики netfilter и обширного поиска в Интернете), замену Physdev-is-bridged не существует. Вики netfilter даже считает, что совпадение по Physdev устарело (см. https://wiki.nftables.org/wiki-nftables/index.php/Supported_features_compared_to_xtables)
В моей настройке я смог обойти это, сравнив iifname и oifname с одной и той же строкой, ie.
table inet filter {
chain forward {
iifname "br0" oifname "br0" accept
}
}
Это будет замена для
iptables -A FORWARD -m physdev --physdev-is-bridged -j ACCEPT
, за исключением того, что оно применяется только к мосту "br0", в отличие от правила iptables, которое применяется к любому мосту в системе. Однако, если ваши мосты устарели c, этот обходной путь может быть достаточным для вас.
(С другой стороны, наличие физического моста в восходящем направлении nft - и я полагаю, что указанный выше обходной путь может быть достигается без каких-либо изменений в ядре - было бы действительно хорошо для машин, которые создают мостовые интерфейсы по требованию. Необходимость иметь дело с правилами межсетевого экрана для таких мостов является существенным препятствием для моих попыток переключиться на nftables)