Nftables masquerade
Zur Navigation springen
Zur Suche springen
Einfache Routing Firewall
- Eine einfache Firewall, die Pakete aus dem LAN ins WAN weiterleitet
- Pakete aus dem WAN von etablierten Verbindungen sollen ins LAN geleitet werden
Routing aktivieren
- sysctl -w net.ipv4.ip_forward = 1
Einfaches NAT
- Quell IP Adressen aus dem LAN sollen auf die WAN IP geändert werden
- Am einfachsten ist dafür das "Masquerading"
- Sowohl dynamische als auch statische WAN IPs können damit Zugriff auf das Internet gewähren
- Wenn sicher eine statische IP hat, ist SNAT ein wenig schneller
- vim /etc/nftables.conf
flush ruleset
table ip filter {
chain input {
type filter hook input priority 0; policy drop;
ct state {established, related} accept
iif lo accept
iif != lo ip daddr 127.0.0.1/8 drop
ip protocol icmp accept
tcp dport 22 accept
}
chain forward {
type filter hook forward priority 0; policy drop;
}
chain output {
type filter hook output priority 0; policy accept;
}
}
table ip nat {
chain prerouting {
type nat hook prerouting priority 0; policy accept;
}
chain postrouting {
type nat hook postrouting priority 100; policy accept;
oif "enp0s3" masquerade
}
}