Ich hab neulich einen Server von Jessie auf Stretch upgegraded.
Auf dem Server läuft ein apache 2 als Web-Proxy.
Dieser Server hat 2 interfaces eth0 und eth1
eth0 geht ins internet und eth1 in ein Internes Netzwerk.
Ein heartbeat hatte ich auch eingerichtet.
Die VMs im Internen Netzt hatten den Proxy als Gateway eingestellt für updates, Netzlaufwerke etc.
Dies hat unter Debian 8 mit Iptables toll geklappt. Nach dem Update klappt es nicht mehr so ganz.
iptables.sh
Code: Alles auswählen
1 #!/bin/sh
2
3 iptables -F
4 iptables -t nat -F
5
6
7
8
9 iptables -t nat -A POSTROUTING -o eth0 -s 192.168.13.0/24 -j SNAT --to xxx.xxx.xxx.xxx
10
11 iptables -t nat -A PREROUTING -i eth0 -d 129.206.229.179 -j ACCEPT
12
13
14 iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
Die hat leider nicht funktioniert.
nft.conf
Code: Alles auswählen
#!/usr/sbin/nft -f
flush ruleset
table inet filter {
chain forward {
type filter hook forward priority 0
oifname eth1 ct state { established,related } accept
}
chain input {
type filter hook input priority 0
}
}
table ip nat {
chain prerouting{
iifname eth0 ip daddr 129.206.229.179 counter accept
}
chain postrouting {
#oifname eth0 snat ip saddr map { 192.168.13.0 : 129.206.229.179 }
oifname eth0 ip saddr 192.168.13.0/24 counter snat to 129.206.229.179
}
}
Code: Alles auswählen
#add table ip nat
#add chain ip nat PREROUTING { type filter hook prerouting priority 0; }
#add chain ip nat INPUT { type filter hook input priority 0; }
#add chain ip nat OUTPUT { type filter hook output priority 0; }
#add chain ip nat POSTROUTING { type filter hook postrouting priority 0; }
#add rule ip nat PREROUTING iifname eth0 ip daddr 129.206.229.179 counter accept
#add rule ip nat POSTROUTING oifname eth0 ip saddr 192.168.13.0/24 counter snat to 129.206.229.179
#add table ip filter
#add chain ip filter INPUT { type filter hook input priority 0; }
#add chain ip filter OUTPUT { type filter hook output priority 0; }
#add rule ip filter FORWARD oifname eth1 ct state related,established counter accept
MfG
Robert