[FRsAG] nftables / gateway

Wallace wallace at morkitu.org
Sam 10 Avr 10:55:57 CEST 2021


Salut,

Tu fais tes règles en direct ou tu passes par un wrapper?

Déjà bravo pour cette transition car à part quand on fait à la main, la 
plupart des wrappers ne gèrent pas encore nftables ou n'ont pas été 
publié à temps dans les distros concernées.

On a bien essayé mais on a préféré rester sur iptables après avoir fait 
face à pas mal de soucis notamment avec les vrf.

On refera un test sur Debian 11 et la prochaine Ubuntu LTS.


Le 09/04/2021 à 23:58, Jacques MICHAU a écrit :
>
> Hopla les admins,
>
> Fraichement passé de iptables à nftables sur un tas de debian stable 
> (je suis en retard pour la migration -> nftables), j'en ai une seule 
> qui fait passerelle et que je viens juste de migrer.
>
> Je fais mes règles etc et là le drame, les machines NATtées derrière 
> la passerelle ne peuvent pas sortir, et les dnat de ports de 
> l'extérieur vers le LAN ne passent pas non plus.
>
> Ca ne semble pas être les règles nft, elles semblent raisonnables même 
> si mon expérience en nftables est limitée.
>
> Je regarde les autres pistes qui bloqueraient l'ip forwarding et 
> pourtant tout me semble bon :
>
>   * /proc/sys/net/ipv4/ip_forward qui vaut 1
>   * net.ipv4.ip_forward=1 dans /etc/sysctl.conf + sysctl -p
>     /etc/sysctl.conf
>   * si c'est systemd qui fait suer, j'ai tenté comme vu dans des docs
>     un fichier /etc/systemd/netword/eth1.network (eth1 étant mon lan,
>     eth0 mon l'interface publique) et contenant
>       o [Match]
>         Name=eth1
>
>         [Network]
>         IPForward=ipv4   # j'ai tenté yes car pas sur de savoir si ça
>         a évolué de "ipv4" en "yes"
>
> Une autre idée, un retour d'expérience ? Les manips ci-dessus sont 
> tout ce que je trouve de solutions temporaires ou définitives, en 
> théorie, pour activer le forwarding.
>
> Détail : avant j'étais en iptables mais géré par shorewall ; depuis 
> j'ai viré le pkg shorewall, iptables aussi et rebooté au cas où il 
> traine un truc moisi.
>
> Je fais des tcpdump de ports qui doivent être forwardé sur mon LAN, je 
> vois bien des demandes entrer puis rien qui traverse.
>
> thx
>
> -- 
> Jacques
>
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20210410/4a39c85b/attachment-0001.htm>


Plus d'informations sur la liste de diffusion FRsAG