Linuxでnftablesを使用した完全なマスカレードNATの例?
Nftablesを使用してこれを行う方法の完全な例を探しています。これは、アップストリームインターフェイス上のDHCPクライアントであり、他のインターフェイス上に192.168.0.0/24 LANを持ち、ファイアウォールとしても機能する必要があります。
アップストリームインターフェイスでsshポートを開き、ポート80トラフィックをLAN上の他のサーバーに転送したことに対する追加のクレジット。
Nftables wikiは、いくつかの質問に答えられていません。たとえば、 マスカレードに関するセクション では、マスカレードルールを一方のインターフェイスともう一方のインターフェイスにアタッチする方法については説明していません。
lan0が内部ネットワークに接続され、wan0がISPに接続されていると仮定して、これが私が使用しているものです。
「アップストリームインターフェイス上のDHCPクライアント」が何を意味するのかわかりません。これは、nftablesではなくDHCPクライアントを使用して行われるためです。以下の設定では、発信トラフィックが制限されていないため、DHCP要求が通過します。
#!/usr/bin/nft -f
flush ruleset
table inet filter {
chain input {
type filter hook input priority 0; policy drop;
# allow established/related connections
ct state {established, related} accept
# early drop of invalid connections
ct state invalid drop
# allow from loopback
iifname lo accept
# Allow from internal network
iifname lan0 accept
# allow icmp
ip protocol icmp accept
# allow ssh
tcp dport 22 accept comment "SSH in"
reject
}
chain forward {
type filter hook forward priority 0;
# Allow outgoing via wan0
oifname wan0 accept
# Allow incoming on wan0 for related & established connections
iifname wan0 ct state related, established accept
# Drop any other incoming traffic on wan0
iifname wan0 drop
}
chain output {
type filter hook output priority 0;
}
}
table ip nat {
chain prerouting {
type nat hook prerouting priority 0;
# Forward traffic from wan0 to a LAN server
iifname wan0 tcp dport 80 dnat 192.168.0.8 comment "Port forwarding to web server"
}
chain postrouting {
type nat hook postrouting priority 0;
# Masquerade outgoing traffic
oifname wan0 masquerade
}
}
マスカレードはSNATの特殊なケースです。トラフィックを出力インターフェイスまたは出力アドレス(内部IPの送信元アドレス)に接続する場合は、SNATを使用します