nftables + masquerade

1

2

Добрый день,

после обновления ядра до 5.18 внезапно перестали работать старые правила iptables и как следствие отвалилась wifi точка, которая за линуксовым роутером. В процессе поиска причины выяснил, что сейчас iptables уже не модно, а модно nftables. Сконвертировал правила в nft, но нифига не работает. С точки доступа не пингуется ничего за роутером. пробовал разные варианты правил, сейчас правила в nft выглядят вот так:

table ip nat {
        chain PREROUTING {
                type nat hook prerouting priority dstnat; policy accept;
        }

        chain INPUT {
                type nat hook input priority 100; policy accept;
        }

        chain OUTPUT {
                type nat hook output priority -100; policy accept;
        }

        chain POSTROUTING {
                type nat hook postrouting priority srcnat; policy accept;
                ip saddr 10.73.2.0/24 oif "enp6s0" masquerade
                ip saddr 10.73.2.0/24 oif "enp7s0" masquerade
        }
}

enp7s0 - внешний интерфейс в интернет, enp6s0 интерфейс в сторону точки доступа

что я делаю не так и как сейчас принято настраивать маскарадинг?

Ссылка

←	хочется странного: socks сервер с access control

Freeipa + AD windows

→

Я не очень понял, что надо, по nftables хороший материал в арч-вики и на странице проекта:

vvn_black ★★★★★
(09.08.22 09:11:06 MSK)
Последнее исправление: vvn_black 09.08.22 09:13:52 MSK (всего исправлений: 1)

Ответ на: комментарий от vvn_black 09.08.22 09:11:06 MSK

А отбой уже :) Оказалось дело было не в бобине… :)) было одно правило в роутинге, которое не было видно в ip route list, а было в ip rule ls

хотя это работало с iptables лет 10, а с nft почему-то перестало

Gin ★★
(09.08.22 09:16:22 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	хочется странного: socks сервер с access control

Admin

Freeipa + AD windows

→

Похожие темы