Отброс пакетов в указанные сети с reject

0

2

На выходном узле с помощью nftables хочу отбрасывать пакеты c reject no-route если сети приватные, а NIC который торчит наружу.

у меня такие правила:

table ip nat {
...
        chain postrouting {
                type nat hook postrouting priority srcnat; policy accept;
                oif "enp4s0" ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 } goto drop_private_net
                ip saddr @allowed_nat masquerade
        }

        chain drop_private_net {
                counter packets 604 bytes 50736
                drop
        }
}

В принципе меня и так всё устраивает, но хочется reject добавить. Если в drop_private_net добавить reject with icmpx type no-route выдаёт ошибку:

Error: abstracted ICMP unreachable not supported
reject with icmpx type no-route                                                                                                                            ~~~~~~                 ^^^^^^^^

Я не совсем понимаю тип ошибки. Wiki смотрел. Пробовал icmp type net-unreacable тоже самое. Подскажите, пожалуйста, куда смотреть чтобы решить этот вопрос.

←	raspberry pi 4 отключает USB веб-камеру

Настройка видимости второй подсети

→

ИМХО, плохая идея делать drop или reject в nat. Для этого есть filter. Не знаю про nftables, но, ЕМНИП, iptables не разрешал REJECT в mangle...

mky ★★★★★
(10.03.24 20:55:58 MSK)

Ответ на: комментарий от mky 10.03.24 20:55:58 MSK

спасибо за ответ. попробую поискать информацию на эту тему и реализовать так как ты предлагаешь. Ты не мог бы объяснить почему это не очень хорошая идея?

SmilePlz ★
(11.03.24 10:42:23 MSK) автор топика

Ответ на: комментарий от SmilePlz 11.03.24 10:42:23 MSK

Wiki смотрел.

Плохо смотрели, посмотрите ещё раз. Я как не Ъ сходил по вашей ссылке, и не увидел того что попытались сделать вы. Выше вам mky все правильно ответил.