Salut,
Tu fais tes règles en direct ou tu passes par un wrapper?
Déjà bravo pour cette transition car à part quand on fait à la main, la plupart des wrappers ne gèrent pas encore nftables ou n'ont pas été publié à temps dans les distros concernées.
On a bien essayé mais on a préféré rester sur iptables après avoir fait face à pas mal de soucis notamment avec les vrf.
On refera un test sur Debian 11 et la prochaine Ubuntu LTS.
Hopla les admins,
Fraichement passé de iptables à nftables sur un tas de debian stable (je suis en retard pour la migration -> nftables), j'en ai une seule qui fait passerelle et que je viens juste de migrer.
Je fais mes règles etc et là le drame, les machines NATtées derrière la passerelle ne peuvent pas sortir, et les dnat de ports de l'extérieur vers le LAN ne passent pas non plus.
Ca ne semble pas être les règles nft, elles semblent raisonnables même si mon expérience en nftables est limitée.
Je regarde les autres pistes qui bloqueraient l'ip forwarding et pourtant tout me semble bon :
- /proc/sys/net/ipv4/ip_forward qui vaut 1
- net.ipv4.ip_forward=1 dans /etc/sysctl.conf + sysctl -p /etc/sysctl.conf
- si c'est systemd qui fait suer, j'ai tenté comme vu dans des docs un fichier /etc/systemd/netword/eth1.network (eth1 étant mon lan, eth0 mon l'interface publique) et contenant
- [Match]
Name=eth1
[Network]
IPForward=ipv4 # j'ai tenté yes car pas sur de savoir si ça a évolué de "ipv4" en "yes"
Une autre idée, un retour d'expérience ? Les manips ci-dessus sont tout ce que je trouve de solutions temporaires ou définitives, en théorie, pour activer le forwarding.
Détail : avant j'étais en iptables mais géré par shorewall ; depuis j'ai viré le pkg shorewall, iptables aussi et rebooté au cas où il traine un truc moisi.
Je fais des tcpdump de ports qui doivent être forwardé sur mon LAN, je vois bien des demandes entrer puis rien qui traverse.
thx
-- Jacques
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/