6
Debian iptables zu nftables übersetzen für Wireguard
Hallo,
ich betreibe Wireguard erfolgreich auf Debian9 und Raspian9.
ich würde gern auf Debian 10 umsteigen.
Leider konnte mir bisher Niemand sagen wie ich 3 simple iptables Befehle in nftables übersetzt bekomme:
Mit dem aktivieren von Wireguard startet bzw. stoppt:
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Für die 3 Regeln (2x Fw, 1x Masquerade) muss es doch nftables Befehle geben, die man 1:1 in die Wireguard config übernehmen kann oder nicht ?
Wenn mir die Jemand verraten würde, wäre ich sehr dankbar.
Bitte keine Links zu Übersetzungsskripten oder der Aktivierung von iptables.
LG
ich betreibe Wireguard erfolgreich auf Debian9 und Raspian9.
ich würde gern auf Debian 10 umsteigen.
Leider konnte mir bisher Niemand sagen wie ich 3 simple iptables Befehle in nftables übersetzt bekomme:
Mit dem aktivieren von Wireguard startet bzw. stoppt:
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Für die 3 Regeln (2x Fw, 1x Masquerade) muss es doch nftables Befehle geben, die man 1:1 in die Wireguard config übernehmen kann oder nicht ?
Wenn mir die Jemand verraten würde, wäre ich sehr dankbar.
Bitte keine Links zu Übersetzungsskripten oder der Aktivierung von iptables.
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 527339
Url: https://administrator.de/contentid/527339
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo
Doku lesen:
https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_t ...
Das ist kein Übersetzungsskript sondern ein eigener übersetzungsbefehl.
Grüße
lcer
Zitat von @Avenga:
Für die 3 Regeln (2x Fw, 1x Masquerade) muss es doch nftables Befehle geben, die man 1:1 in die Wireguard config übernehmen kann oder nicht ?
Wenn mir die Jemand verraten würde, wäre ich sehr dankbar.
Bitte keine Links zu Übersetzungsskripten oder der Aktivierung von iptables.
Für die 3 Regeln (2x Fw, 1x Masquerade) muss es doch nftables Befehle geben, die man 1:1 in die Wireguard config übernehmen kann oder nicht ?
Wenn mir die Jemand verraten würde, wäre ich sehr dankbar.
Bitte keine Links zu Übersetzungsskripten oder der Aktivierung von iptables.
Doku lesen:
https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_t ...
Das ist kein Übersetzungsskript sondern ein eigener übersetzungsbefehl.
Grüße
lcer
Für die 3 Regeln (2x Fw, 1x Masquerade) muss es doch nftables Befehle geben, die man 1:1 in die Wireguard config übernehmen kann oder nicht ?
Gibt es, aber die lauten aus Gründen wie nftables funktioniert auf jedem System anders weil es mit nftables keine festgelegte Bezeichner für Tables und Chains wie bei iptables gibt, die kann man nennen wie es einem beliebt. Deswegen musst du dich selbst mit der Funktionsweise beschäftigen, oder hier mal dein Regelset posten (nft list ruleset. Ist ja sowieso angebracht wenn man damit arbeitet, nichts ist schlimmer als ein System zu nutzen das man nicht versteht, viel schlimmer noch, du gefährdest dein System bei sowas wichtigem wie einer Firewall ...
Habe noch mal Debian 10 installiert, nur wie kriege ich "iptables-nftables-compat" installiert damit ich "iptables-translate" benutzen kann ?
P.S.:
sudo apt-get install -y iptables-nftables-compat
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Paket iptables-nftables-compat ist nicht verfügbar, wird aber von einem anderen Paket
referenziert. Das kann heißen, dass das Paket fehlt, dass es abgelöst
wurde oder nur aus einer anderen Quelle verfügbar ist.
Doch die folgenden Pakete ersetzen es:
iptables
E: Für Paket »iptables-nftables-compat« existiert kein Installationskandidat.
Auf Debian 9 (wo ich es nicht brauche) will er es zusammen mit 5 Paketen installieren.
P.S.:
sudo apt-get install -y iptables-nftables-compat
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Paket iptables-nftables-compat ist nicht verfügbar, wird aber von einem anderen Paket
referenziert. Das kann heißen, dass das Paket fehlt, dass es abgelöst
wurde oder nur aus einer anderen Quelle verfügbar ist.
Doch die folgenden Pakete ersetzen es:
iptables
E: Für Paket »iptables-nftables-compat« existiert kein Installationskandidat.
Auf Debian 9 (wo ich es nicht brauche) will er es zusammen mit 5 Paketen installieren.
Hallo,
Es reicht doch das auf 9 zu installieren, die Regeln dort zu übersetzen und dann nach 10 zu kopieren.
Wenn es aber nur um 3 Regeln geht, würde ich eher dazu neigen, das Handbuch zu lesen.
Grüße
lcer
Es reicht doch das auf 9 zu installieren, die Regeln dort zu übersetzen und dann nach 10 zu kopieren.
Wenn es aber nur um 3 Regeln geht, würde ich eher dazu neigen, das Handbuch zu lesen.
Grüße
lcer
@142232 Es gibt ja (noch) kein ruleset, es soll ja lediglich das:
iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
eingepflegt werden, damit Wireguard VPN funktioniert.
@icer wollte ungern auf Debian 9 nftables installieren, nachher funktioniert gar nix mehr.
iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
eingepflegt werden, damit Wireguard VPN funktioniert.
@icer wollte ungern auf Debian 9 nftables installieren, nachher funktioniert gar nix mehr.
Zitat von @Avenga:
@icer wollte ungern auf Debian 9 nftables installieren, nachher funktioniert gar nix mehr.
@icer wollte ungern auf Debian 9 nftables installieren, nachher funktioniert gar nix mehr.
Na dann nimm eine VM.
Grüße
lcer
