[FRsAG] nftables / gateway

Jacques MICHAU jacques at michauko.org
Ven 9 Avr 23:58:56 CEST 2021


Hopla les admins,

Fraichement passé de iptables à nftables sur un tas de debian stable (je 
suis en retard pour la migration -> nftables), j'en ai une seule qui 
fait passerelle et que je viens juste de migrer.

Je fais mes règles etc et là le drame, les machines NATtées derrière la 
passerelle ne peuvent pas sortir, et les dnat de ports de l'extérieur 
vers le LAN ne passent pas non plus.

Ca ne semble pas être les règles nft, elles semblent raisonnables même 
si mon expérience en nftables est limitée.

Je regarde les autres pistes qui bloqueraient l'ip forwarding et 
pourtant tout me semble bon :

  * /proc/sys/net/ipv4/ip_forward qui vaut 1
  * net.ipv4.ip_forward=1 dans /etc/sysctl.conf + sysctl -p /etc/sysctl.conf
  * si c'est systemd qui fait suer, j'ai tenté comme vu dans des docs un
    fichier /etc/systemd/netword/eth1.network (eth1 étant mon lan, eth0
    mon l'interface publique) et contenant
      o [Match]
        Name=eth1

        [Network]
        IPForward=ipv4   # j'ai tenté yes car pas sur de savoir si  ça a
        évolué de "ipv4" en "yes"

Une autre idée, un retour d'expérience ? Les manips ci-dessus sont tout 
ce que je trouve de solutions temporaires ou définitives, en théorie, 
pour activer le forwarding.

Détail : avant j'étais en iptables mais géré par shorewall ; depuis j'ai 
viré le pkg shorewall, iptables aussi et rebooté au cas où il traine un 
truc moisi.

Je fais des tcpdump de ports qui doivent être forwardé sur mon LAN, je 
vois bien des demandes entrer puis rien qui traverse.

thx

-- 
Jacques

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20210409/827ce3e0/attachment.htm>


Plus d'informations sur la liste de diffusion FRsAG