Debian iptables zu nftables übersetzen für Wireguard

Hallo,
ich betreibe Wireguard erfolgreich auf Debian9 und Raspian9.

ich würde gern auf Debian 10 umsteigen.

Leider konnte mir bisher Niemand sagen wie ich 3 simple iptables Befehle in nftables übersetzt bekomme:

Mit dem aktivieren von Wireguard startet bzw. stoppt:
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

Für die 3 Regeln (2x Fw, 1x Masquerade) muss es doch nftables Befehle geben, die man 1:1 in die Wireguard config übernehmen kann oder nicht ?

Wenn mir die Jemand verraten würde, wäre ich sehr dankbar.

Bitte keine Links zu Übersetzungsskripten oder der Aktivierung von iptables.


LG

Content-Key: 527339

Url: https://administrator.de/contentid/527339

Ausgedruckt am: 21.10.2021 um 16:10 Uhr

Mitglied: lcer00
lcer00 20.12.2019 um 06:35:40 Uhr
Goto Top
Hallo
Zitat von @Avenga:

Für die 3 Regeln (2x Fw, 1x Masquerade) muss es doch nftables Befehle geben, die man 1:1 in die Wireguard config übernehmen kann oder nicht ?

Wenn mir die Jemand verraten würde, wäre ich sehr dankbar.

Bitte keine Links zu Übersetzungsskripten oder der Aktivierung von iptables.

Doku lesen:
https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_t ...
Das ist kein Übersetzungsskript sondern ein eigener übersetzungsbefehl.

Grüße

lcer
Mitglied: 142232
142232 20.12.2019 aktualisiert um 12:48:45 Uhr
Goto Top
Für die 3 Regeln (2x Fw, 1x Masquerade) muss es doch nftables Befehle geben, die man 1:1 in die Wireguard config übernehmen kann oder nicht ?
Gibt es, aber die lauten aus Gründen wie nftables funktioniert auf jedem System anders weil es mit nftables keine festgelegte Bezeichner für Tables und Chains wie bei iptables gibt, die kann man nennen wie es einem beliebt. Deswegen musst du dich selbst mit der Funktionsweise beschäftigen, oder hier mal dein Regelset posten (nft list ruleset. Ist ja sowieso angebracht wenn man damit arbeitet, nichts ist schlimmer als ein System zu nutzen das man nicht versteht, viel schlimmer noch, du gefährdest dein System bei sowas wichtigem wie einer Firewall ...
Mitglied: Avenga
Avenga 20.12.2019 aktualisiert um 15:36:13 Uhr
Goto Top
Habe noch mal Debian 10 installiert, nur wie kriege ich "iptables-nftables-compat" installiert damit ich "iptables-translate" benutzen kann ?

P.S.:
sudo apt-get install -y iptables-nftables-compat
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Paket iptables-nftables-compat ist nicht verfügbar, wird aber von einem anderen Paket
referenziert. Das kann heißen, dass das Paket fehlt, dass es abgelöst
wurde oder nur aus einer anderen Quelle verfügbar ist.
Doch die folgenden Pakete ersetzen es:
iptables

E: Für Paket »iptables-nftables-compat« existiert kein Installationskandidat.


Auf Debian 9 (wo ich es nicht brauche) will er es zusammen mit 5 Paketen installieren.
Mitglied: lcer00
lcer00 20.12.2019 um 16:51:12 Uhr
Goto Top
Hallo,

Es reicht doch das auf 9 zu installieren, die Regeln dort zu übersetzen und dann nach 10 zu kopieren.

Wenn es aber nur um 3 Regeln geht, würde ich eher dazu neigen, das Handbuch zu lesen.


Grüße

lcer
Mitglied: Avenga
Avenga 20.12.2019 aktualisiert um 20:02:04 Uhr
Goto Top
@142232 Es gibt ja (noch) kein ruleset, es soll ja lediglich das:
iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
eingepflegt werden, damit Wireguard VPN funktioniert.

@icer wollte ungern auf Debian 9 nftables installieren, nachher funktioniert gar nix mehr.
Mitglied: lcer00
lcer00 20.12.2019 um 20:29:29 Uhr
Goto Top
Zitat von @Avenga:

@icer wollte ungern auf Debian 9 nftables installieren, nachher funktioniert gar nix mehr.

Na dann nimm eine VM.

Grüße

lcer
Heiß diskutierte Beiträge
question
IT Dienstleister und VPN Zugang gelöst Eduard.DVor 1 TagFrageZusammenarbeit45 Kommentare

Hallo zusammen, ich habe eine Frage zu einem Thema welches viele Unternehmen betrifft und ich bin neugierig wie andere dies gelöst haben. Ich bin mir ...

question
Windows 11 verhindernpitamericaVor 1 TagFrageWindows 1116 Kommentare

Hallo zusammen, verstehe ich es richtig, dass Windows 11 nur installiert wird, wenn man aktiv in der Suche bei Windows Update auf das Update klickt ...

question
Suche einfaches Filesharing oder Sharing-CloudYan2021Vor 1 TagFrageCloud-Dienste17 Kommentare

Hallo Ihr Lieben ;-) Chef hat mal wieder ne neue Idee. Wir wollen für Kunden anbieten, dass sie Dateien über Internet mit uns austauschen können. ...

tip
KB5006670 macht Drucker-ProblemeLochkartenstanzerVor 1 TagTippWindows Update10 Kommentare

Moin, Seit Montag haben diverse Kunden Probleme mit dem Drucken. Nach Recherchen hat sich herausgestellt, daß KB5006670 dazu führt, daß statt einen Ausdruck nur noch ...

question
AzureAD - Bitlocker ohne TPM möglich?SarekHLVor 1 TagFrageWindows 1021 Kommentare

Hallo zusammen, unser Bistum verwaltet Windows-Rechner mit AzureAD, wobei Bitlocker zwingend aktiv sein muss. Weiß jemand, ob in der Konstellation ein TPM erforderlich ist? Normalerweise ...

question
Suche ITSM-Software für KMUcell2k6Vor 1 TagFrageMicrosoft7 Kommentare

Hallo Community, stiller mitleser hier, jetzt muss ich aber mal aktiv werden um die Schwarmintelligenz zu nutzen. Wir sind eine 4-Mann IT-Abteilung in einem mittelständischem ...

tip
Congstar - Diese Rufnummer ist uns nicht bekanntJoeToeVor 1 TagTippTK-Netze & Geräte6 Kommentare

Beschreibung Ein Congstar-Mobilfunkkunde beschwerte sich über eine Störung: bei gehenden Anrufen zu einigen auf seinem iPhone gespeicherten Kontakten hörte er stets die Ansage Diese Rufnummer ...

question
Einfache Software für MitarbeiterinformationichbinwerichbinVor 22 StundenFrageZusammenarbeit9 Kommentare

Guten Morgen Ich lese hier schon seit Jahren und bräuchte jetzt mal einen Hinweis. Ich weiss nicht ob Fragen nach Software beantwortet werden (Werbung?) aber ...