DNSMasq ipset bei Debian 10 nicht mehr umsetzbar?

[user18]

Hallo zusammen,

aktuell setze ich DNSMasq auf meinen Router ein und schränke hiermit bestimmte Clients auf bestimmte Domains ein:

Code: Alles auswählen

# dnsmasq.conf Auszug
ipset=/.update.microsoft.com/....../WINDOWSUPDATES

Dabei werden die aufgelösten IP-Adressen den ipset WINDOWSUPDATES hinzugefügt.

Code: Alles auswählen

# iptables Auszug
iptables -A FORWARD -i $LAN -o $WAN -p tcp -s 192.168.2.5 -m multiport --dports 80,443 -m set --match-set WINDOWSUPDATES dst -m state --state NEW -j ACCEPT

Somit hat beispielsweise ein Windows Client nur Zugriff auf Windows Updates und sonst keinerlei Internetzugriff.

Mit Debian 10 wird ja iptables durch nftables ersetzt.

Sehe ich das richtig, dass ich mit Debian 10 dies so nicht mehr umsetzen kann?

[MSfree]

Mit Debian 10 wird ja iptables durch nftables ersetzt.

Sehe ich das richtig?

Nein, iptables wurde nicht ersetzt, das ist nach wie vor voll funktionsfähig.

[user18]

d.h. ich kann bei Debian 10 die iptables, ipset, dnsmasq Regeln exakt so weiter verwenden und muss nicht auf nftables wechseln?

[MSfree]

d.h. ich kann bei Debian 10 die iptables, ipset, dnsmasq Regeln exakt so weiter verwenden

Ja.

und muss nicht auf nftables wechseln?

Noch nicht. Bis nftables iptables vollständig ersetzen kann, wird es noch etwas dauern.

[user18]

vielen Dank!

Ich habe gerade ein Upgrade auf Debian 10 vorgenommen.
Dabei fällt auf, dass sowohl unter "nft list ruleset" und iptables -L Regeln doppelt vorhanden sind.
Die ipset Regeln unter "nft list ruleset" sind hier nicht vorhanden.

Macht es Sinn einfach folgende Befehle auszuführen?:

Code: Alles auswählen

update-alternatives --set iptables /usr/sbin/iptables-legacy
update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy

Damit wird nft list ruleset keine Regel mehr angezeigt.