thaddaeus93
28.02.2023, aktualisiert am 01.03.2023
view1753
view5
0
Goto Top

Probleme mit nft (Linux Firewall)

gelöstFrageDebian
Hallo Zusammen,

ich bin hier langsam am Verzweifeln mit dem sch*** iptables-Ersatz "nft".
Mit iptables hat es wunderbar funktioniert, nur leider lässt sich das nicht mehr nutzen face-sad

Nun zu dem, was ich erreichen möchte.. Eingehender Verkehr auf z.B. Port 80 soll auf einen anderen Host auch auf den Port 80 weitergeleitet werden.. sollte man meinen, das wäre nicht schwierig.

Mit iptables hatte ich es so gelöst:

iptables-legacy -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 172.22.16.124:80
iptables-legacy -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 172.22.16.124:443
iptables-legacy -t nat -A POSTROUTING -j MASQUERADE
dpkg-reconfigure iptables-persistent

Kurz und knacking, hat super funktioniert.
Auf einem anderen Host mit Debian 11 nicht mehr.. vermutlich, weil iptables durch nft ersetzt wurde.

Nach dieser Anleitung bin ich unter nft vorgeganen:
access.redhat.com/documentation/de-de/red_hat_enterprise_linux/7/html/security_guide/sec-configuring_port_forwarding_using_nftables

... funktioniert aber leider nicht.

root@bg1rps01:~#
root@bg1rps01:~# nft add table nat
root@bg1rps01:~# nft 'add chain nat postrouting { type nat hook postrouting priority 100 ; }'  
root@bg1rps01:~# nft 'add chain nat prerouting { type nat hook prerouting priority -100; }'  
root@bg1rps01:~# nft 'add rule nat prerouting ip daddr 172.24.16.1 tcp dport { 80 } dnat 172.22.16.124:80'  
Error: Could not process rule: No such file or directory
add rule nat prerouting ip daddr 172.24.16.1 tcp dport { 80 } dnat 172.22.16.124:80
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
root@bg1rps01:~#

Hat jemand von Euch eine Idee, wie man das lösen könnte?
Alternativ wäre ich natürlich auch froh über einen Weg, das iptables wieder zu nutzen face-wink

VG
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 6167854392

Url: https://administrator.de/contentid/6167854392

Ausgedruckt am: 08.11.2024 um 00:11 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
cykes
cykes 28.02.2023 um 22:24:45 Uhr
Goto Top
Nabend,

vergleich doch bitte nochmal die Anleitung und das, was Du eingegeben hast face-wink
... bei Dir fehlt konsequent überall das 'ip' -> "nft add table ip nat"

Gruß

cykes
johannes2
johannes2 29.03.2023 um 04:08:55 Uhr
Goto Top
Hi Thaddaeus,

Der Eintrag in den Debian 10 Release-Notes hat uns auch ziemlich Kopfzerbrechen beschehrt. Und natürlich sollst Du Dich weiterbilden ... aber zumindest auch in Debian 11 enthält das iptables Paket immer noch x_tables und iptables-legacy (siehe auch -> Debian-Wiki).

Du hättest also noch eine kleine Gnadenfrist ;).

Viele Grüße,
Johannes
heart1
thaddaeus93
thaddaeus93 29.03.2023 aktualisiert um 20:54:34 Uhr
Goto Top
@cykes funktioniert leider trotzdem nicht - konnte das Problem aber mittlerweile anders lösen
cykes
cykes 29.03.2023 um 21:17:02 Uhr
Goto Top
Verrätst Du uns auch noch wie Du es gelöst hast? Wäre wohl auch für andere eventuell interessant.
thaddaeus93
thaddaeus93 29.03.2023 um 21:26:16 Uhr
Goto Top
@cykes Naja besonders schön ist die Lösung nicht - ich hab einfach eine neue VM mit Debian 10 aufgesetzt und mit iptables hat es dann funktioniert.
gelöstFrageDebian
Mehr von thaddaeus93thaddaeus93Kommunikation mit zwei Docker-Containernthaddaeus93 - 1 Kommentarthaddaeus93Ldap-bind mit OpenLDAP schlägt fehl (PHP)thaddaeus93 - 5 Kommentarethaddaeus93Domäne nach Ausfall eines DC komplett gestörtthaddaeus93 - 46 Kommentarethaddaeus93Zertifikats-Fehlermeldung bei Outlook in Verbindung mit Exchange 2016thaddaeus93 - 34 Kommentare
Heiß diskutiert
ds6.euAktuelle Probleme mit der XG(s) Serie von Sophosds6.eu - 75 Kommentareopc123Excel Kundendatenbankopc123 - 44 KommentareMysticFoxDESERVER 2025 - HARDWAREANFORDERUNGEN - Ich habe da einige FragenMysticFoxDE - 43 KommentareDumpfbackeFirewall ersetzenDumpfbacke - 39 KommentareUeba3baI7 12700K vs Xeon Gold 6246Ueba3ba - 26 KommentareElmerAcmeeeSQL Restore ohne jeglichen Verlust möglich?ElmerAcmeee - 20 KommentareOliverXGäste IP-Bereich mit Internet aber kein Zugriff auf Büro IP-BereichOliverX - 20 KommentarejsysdeServer 2025 Update blockierenjsysde - 19 Kommentareonel01Frage: managed Switch und Inbetriebnahmeonel01 - 19 Kommentarebulldozer90Win11 Master Image mit OEM Lizenzen möglich?bulldozer90 - 15 KommentarePaulina.RabeNetzwerk aufbauen für BürogemeinschaftPaulina.Rabe - 14 KommentarechristosmistosSuche Systemadministratoren für Remote- oder Hybrid-Arbeit im Raum Münsterchristosmistos - 14 Kommentare