5
Probleme mit nft (Linux Firewall)
Hallo Zusammen,
ich bin hier langsam am Verzweifeln mit dem sch*** iptables-Ersatz "nft".
Mit iptables hat es wunderbar funktioniert, nur leider lässt sich das nicht mehr nutzen
Nun zu dem, was ich erreichen möchte.. Eingehender Verkehr auf z.B. Port 80 soll auf einen anderen Host auch auf den Port 80 weitergeleitet werden.. sollte man meinen, das wäre nicht schwierig.
Mit iptables hatte ich es so gelöst:
Kurz und knacking, hat super funktioniert.
Auf einem anderen Host mit Debian 11 nicht mehr.. vermutlich, weil iptables durch nft ersetzt wurde.
Nach dieser Anleitung bin ich unter nft vorgeganen:
access.redhat.com/documentation/de-de/red_hat_enterprise_linux/7/html/security_guide/sec-configuring_port_forwarding_using_nftables
... funktioniert aber leider nicht.
Hat jemand von Euch eine Idee, wie man das lösen könnte?
Alternativ wäre ich natürlich auch froh über einen Weg, das iptables wieder zu nutzen
VG
ich bin hier langsam am Verzweifeln mit dem sch*** iptables-Ersatz "nft".
Mit iptables hat es wunderbar funktioniert, nur leider lässt sich das nicht mehr nutzen
Nun zu dem, was ich erreichen möchte.. Eingehender Verkehr auf z.B. Port 80 soll auf einen anderen Host auch auf den Port 80 weitergeleitet werden.. sollte man meinen, das wäre nicht schwierig.
Mit iptables hatte ich es so gelöst:
iptables-legacy -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 172.22.16.124:80
iptables-legacy -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 172.22.16.124:443
iptables-legacy -t nat -A POSTROUTING -j MASQUERADE
dpkg-reconfigure iptables-persistentKurz und knacking, hat super funktioniert.
Auf einem anderen Host mit Debian 11 nicht mehr.. vermutlich, weil iptables durch nft ersetzt wurde.
Nach dieser Anleitung bin ich unter nft vorgeganen:
access.redhat.com/documentation/de-de/red_hat_enterprise_linux/7/html/security_guide/sec-configuring_port_forwarding_using_nftables
... funktioniert aber leider nicht.
root@bg1rps01:~#
root@bg1rps01:~# nft add table nat
root@bg1rps01:~# nft 'add chain nat postrouting { type nat hook postrouting priority 100 ; }'
root@bg1rps01:~# nft 'add chain nat prerouting { type nat hook prerouting priority -100; }'
root@bg1rps01:~# nft 'add rule nat prerouting ip daddr 172.24.16.1 tcp dport { 80 } dnat 172.22.16.124:80'
Error: Could not process rule: No such file or directory
add rule nat prerouting ip daddr 172.24.16.1 tcp dport { 80 } dnat 172.22.16.124:80
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
root@bg1rps01:~#Hat jemand von Euch eine Idee, wie man das lösen könnte?
Alternativ wäre ich natürlich auch froh über einen Weg, das iptables wieder zu nutzen
VG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6167854392
Url: https://administrator.de/contentid/6167854392
Ausgedruckt am: 23.11.2024 um 11:11 Uhr
5 Kommentare
Neuester Kommentar
Nabend,
vergleich doch bitte nochmal die Anleitung und das, was Du eingegeben hast
... bei Dir fehlt konsequent überall das 'ip' -> "nft add table ip nat"
Gruß
cykes
vergleich doch bitte nochmal die Anleitung und das, was Du eingegeben hast
... bei Dir fehlt konsequent überall das 'ip' -> "nft add table ip nat"
Gruß
cykes
Hi Thaddaeus,
Der Eintrag in den Debian 10 Release-Notes hat uns auch ziemlich Kopfzerbrechen beschehrt. Und natürlich sollst Du Dich weiterbilden ... aber zumindest auch in Debian 11 enthält das iptables Paket immer noch x_tables und iptables-legacy (siehe auch -> Debian-Wiki).
Du hättest also noch eine kleine Gnadenfrist ;).
Viele Grüße,
Johannes
Der Eintrag in den Debian 10 Release-Notes hat uns auch ziemlich Kopfzerbrechen beschehrt. Und natürlich sollst Du Dich weiterbilden ... aber zumindest auch in Debian 11 enthält das iptables Paket immer noch x_tables und iptables-legacy (siehe auch -> Debian-Wiki).
Du hättest also noch eine kleine Gnadenfrist ;).
Viele Grüße,
Johannes
1
@cykes funktioniert leider trotzdem nicht - konnte das Problem aber mittlerweile anders lösen
Verrätst Du uns auch noch wie Du es gelöst hast? Wäre wohl auch für andere eventuell interessant.
@cykes Naja besonders schön ist die Lösung nicht - ich hab einfach eine neue VM mit Debian 10 aufgesetzt und mit iptables hat es dann funktioniert.
