thaddaeus93
Feb 28, 2023, updated at Mar 01, 2023 (UTC)
view1649
view5
0
Goto Top

Probleme mit nft (Linux Firewall)

GermansolvedQuestionDebian
Hallo Zusammen,

ich bin hier langsam am Verzweifeln mit dem sch*** iptables-Ersatz "nft".
Mit iptables hat es wunderbar funktioniert, nur leider lässt sich das nicht mehr nutzen face-sad

Nun zu dem, was ich erreichen möchte.. Eingehender Verkehr auf z.B. Port 80 soll auf einen anderen Host auch auf den Port 80 weitergeleitet werden.. sollte man meinen, das wäre nicht schwierig.

Mit iptables hatte ich es so gelöst:

iptables-legacy -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 172.22.16.124:80
iptables-legacy -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 172.22.16.124:443
iptables-legacy -t nat -A POSTROUTING -j MASQUERADE
dpkg-reconfigure iptables-persistent

Kurz und knacking, hat super funktioniert.
Auf einem anderen Host mit Debian 11 nicht mehr.. vermutlich, weil iptables durch nft ersetzt wurde.

Nach dieser Anleitung bin ich unter nft vorgeganen:
access.redhat.com/documentation/de-de/red_hat_enterprise_linux/7/html/security_guide/sec-configuring_port_forwarding_using_nftables

... funktioniert aber leider nicht.

root@bg1rps01:~#
root@bg1rps01:~# nft add table nat
root@bg1rps01:~# nft 'add chain nat postrouting { type nat hook postrouting priority 100 ; }'  
root@bg1rps01:~# nft 'add chain nat prerouting { type nat hook prerouting priority -100; }'  
root@bg1rps01:~# nft 'add rule nat prerouting ip daddr 172.24.16.1 tcp dport { 80 } dnat 172.22.16.124:80'  
Error: Could not process rule: No such file or directory
add rule nat prerouting ip daddr 172.24.16.1 tcp dport { 80 } dnat 172.22.16.124:80
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
root@bg1rps01:~#

Hat jemand von Euch eine Idee, wie man das lösen könnte?
Alternativ wäre ich natürlich auch froh über einen Weg, das iptables wieder zu nutzen face-wink

VG
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 6167854392

Url: https://administrator.de/contentid/6167854392

Printed on: April 27, 2024 at 23:04 o'clock

5 Comments
Latest comment
Goto Top
Member: cykes
cykes Feb 28, 2023 at 21:24:45 (UTC)
Goto Top
Nabend,

vergleich doch bitte nochmal die Anleitung und das, was Du eingegeben hast face-wink
... bei Dir fehlt konsequent überall das 'ip' -> "nft add table ip nat"

Gruß

cykes
Member: johannes2
johannes2 Mar 29, 2023 at 02:08:55 (UTC)
Goto Top
Hi Thaddaeus,

Der Eintrag in den Debian 10 Release-Notes hat uns auch ziemlich Kopfzerbrechen beschehrt. Und natürlich sollst Du Dich weiterbilden ... aber zumindest auch in Debian 11 enthält das iptables Paket immer noch x_tables und iptables-legacy (siehe auch -> Debian-Wiki).

Du hättest also noch eine kleine Gnadenfrist ;).

Viele Grüße,
Johannes
heart1
Member: thaddaeus93
thaddaeus93 Mar 29, 2023 updated at 18:54:34 (UTC)
Goto Top
@cykes funktioniert leider trotzdem nicht - konnte das Problem aber mittlerweile anders lösen
Member: cykes
cykes Mar 29, 2023 at 19:17:02 (UTC)
Goto Top
Verrätst Du uns auch noch wie Du es gelöst hast? Wäre wohl auch für andere eventuell interessant.
Member: thaddaeus93
thaddaeus93 Mar 29, 2023 at 19:26:16 (UTC)
Goto Top
@cykes Naja besonders schön ist die Lösung nicht - ich hab einfach eine neue VM mit Debian 10 aufgesetzt und mit iptables hat es dann funktioniert.
GermansolvedQuestionDebian
Hotly discussed
DaniEnd of availability for classic Teams clientDani