[solved] nftables und iptables

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
r4a5a88
Beiträge: 3
Registriert: 09.10.2017 14:06:48

[solved] nftables und iptables

Beitrag von r4a5a88 » 09.10.2017 14:23:05

Hallo

Ich hab neulich einen Server von Jessie auf Stretch upgegraded.
Auf dem Server läuft ein apache 2 als Web-Proxy.
Dieser Server hat 2 interfaces eth0 und eth1
eth0 geht ins internet und eth1 in ein Internes Netzwerk.
Ein heartbeat hatte ich auch eingerichtet.

Die VMs im Internen Netzt hatten den Proxy als Gateway eingestellt für updates, Netzlaufwerke etc.
Dies hat unter Debian 8 mit Iptables toll geklappt. Nach dem Update klappt es nicht mehr so ganz.

iptables.sh

Code: Alles auswählen

  1 #!/bin/sh
  2
  3 iptables -F
  4 iptables -t nat -F
  5 
  6
  7
  8
  9 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.13.0/24 -j SNAT --to xxx.xxx.xxx.xxx
 10
 11 iptables -t nat -A PREROUTING -i eth0 -d 129.206.229.179 -j ACCEPT
 12
 13 
 14 iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
Ich hab gelesen das man jetzt nftables benutzen soll also hab ich es installiert nd mit dem toll iptables-translate die Regeln übersetzt.
Die hat leider nicht funktioniert.

nft.conf

Code: Alles auswählen

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
        chain forward {
        type filter hook forward priority 0
        oifname eth1 ct state { established,related } accept
        }
        chain input {
        type filter hook input priority 0
        }
}
table ip nat {
                chain prerouting{
                iifname eth0 ip daddr 129.206.229.179 counter accept
                }
                chain postrouting {
                #oifname eth0 snat ip saddr map { 192.168.13.0 : 129.206.229.179 }
                oifname eth0 ip saddr 192.168.13.0/24 counter snat to 129.206.229.179
                }
        }

Code: Alles auswählen

#add table ip nat
#add chain ip nat PREROUTING { type filter hook prerouting priority 0; }
#add chain ip nat INPUT { type filter hook input priority 0; }
#add chain ip nat OUTPUT { type filter hook output priority 0; }
#add chain ip nat POSTROUTING { type filter hook postrouting priority 0; }
#add rule ip nat PREROUTING iifname eth0 ip daddr 129.206.229.179 counter accept
#add rule ip nat POSTROUTING oifname eth0 ip saddr 192.168.13.0/24 counter snat to 129.206.229.179
#add table ip filter
#add chain ip filter INPUT { type filter hook input priority 0; }
#add chain ip filter OUTPUT { type filter hook output priority 0; }
#add rule ip filter FORWARD oifname eth1 ct state related,established  counter accept
Hat jemand hier schon damit erfahrungen gesammelt und kann mir helfen.

MfG

Robert
Zuletzt geändert von r4a5a88 am 17.10.2017 14:11:08, insgesamt 1-mal geändert.

eggy
Beiträge: 1143
Registriert: 10.05.2008 11:23:50

Re: nftables und iptables

Beitrag von eggy » 10.10.2017 12:12:17

r4a5a88 hat geschrieben: ↑ zum Beitrag ↑
09.10.2017 14:23:05
Dies hat unter Debian 8 mit Iptables toll geklappt. Nach dem Update klappt es nicht mehr so ganz.
Wenns vorher nicht funktioniert hat, dann wird kaputtes Zeug übersetzt, und man brauch sich nicht wundern, dass es hinterher auch nicht geht.
Magst Du mal die iptables Fehlermeldungen zeigen? Vielleicht bringts was erstmal die Ursache des ursprünglichen Problems zu finden.
(Ich könnt mir vorstellen, dass die Interfaces jetzt anders heißen, und das daran lag - ist aber nur geraten.)

r4a5a88
Beiträge: 3
Registriert: 09.10.2017 14:06:48

Re: nftables und iptables

Beitrag von r4a5a88 » 11.10.2017 09:22:46

die interfaces heißen noch genau so.
eggy hat geschrieben: ↑ zum Beitrag ↑
10.10.2017 12:12:17
Wenns vorher nicht funktioniert hat, dann wird kaputtes Zeug übersetzt, und man brauch sich nicht wundern, dass es hinterher auch nicht geht.
Vorher hat alles funktioniert. deshalb ich mich warum es jetzt nicht mehr funktioniert

eggy
Beiträge: 1143
Registriert: 10.05.2008 11:23:50

Re: nftables und iptables

Beitrag von eggy » 13.10.2017 16:51:34

r4a5a88 hat geschrieben: ↑ zum Beitrag ↑
09.10.2017 14:23:05
Dies hat unter Debian 8 mit Iptables toll geklappt. Nach dem Update klappt es nicht mehr so ganz.
hmm?

r4a5a88
Beiträge: 3
Registriert: 09.10.2017 14:06:48

Re: nftables und iptables

Beitrag von r4a5a88 » 17.10.2017 14:10:42

wie es auschaut muss man forwarding erst im Kernel erlauben

Code: Alles auswählen

sysctl -w net.ipv4.ip_forward=1
Problem ist gleöst

jeff84
Beiträge: 307
Registriert: 15.07.2009 13:32:36

Re: [solved] nftables und iptables

Beitrag von jeff84 » 17.10.2017 14:29:41

r4a5a88 hat geschrieben: ↑ zum Beitrag ↑
17.10.2017 14:10:42
wie es auschaut muss man forwarding erst im Kernel erlauben

Code: Alles auswählen

sysctl -w net.ipv4.ip_forward=1
Problem ist gleöst
Das wird aber bei Debian 8 auch so gewesen sein...

Antworten