nftables.

Форум — Admin

Доброго времени суток. В связи с https://developers.redhat.com/blog/2017/04/11/benchmarking-nftables/ и iptables всё хотелось настроить nftables.

Использую следующую, минимальную, настройку для моей цели:

$ cat /etc/nftables.conf
flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0; policy accept;
        }
        chain forward {
                type filter hook forward priority 0; policy accept;
        }
        chain output {
                type filter hook output priority 0; policy accept;
        }
}

table ip nat {
        chain prerouting {
                type nat hook prerouting priority 0; policy accept;
        }
        chain postrouting {
                type nat hook postrouting priority 100; policy accept;
                oifname ppp0 counter masquerade
        }
}

Однако, же, большенство сайтов теперь недоступны и отвечают icmp: dest. unreachable. Пользуясь FF или Chromium отлично открываются: google.com, youtube.com и различные Google сайты и сервисы, при том что я использую OpenDNS (208.67.222.222). В общем вот сетевые данные:

2: enp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether e8:11:32:xx:xx:xx brd ff:ff:ff:ff:ff:ff
       valid_lft forever preferred_lft forever
3: wlp2s0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UP group default qlen 1000
    link/ether c0:f8:da:xx:xx:xx brd ff:ff:ff:ff:ff:ff
       valid_lft forever preferred_lft forever
4: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether c0:f8:da:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 192.168.x.1/24 brd 192.168.x.255 scope global br0
       valid_lft forever preferred_lft forever
5: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc fq_codel state UNKNOWN group default qlen 3
    link/ppp 
    inet xx.xx.xx.xx peer xx.xx.xx.xx/32 scope global ppp0
       valid_lft forever preferred_lft forever

Создан виртуальный br0 - на нём, на данный момент, только wifi раздача с dhcp (dnsmasq). А через enp6s0 создаётся ppp0. Самое смешное, что iptables отключен, но он отображает что все направления accept, без правил. Если я включаю iptables и nftables, конечно, nftables утверждает что ресурс занят. При минимальных настройках iptables всё отлично:

$ sudo iptables-save 
*nat
:PREROUTING ACCEPT [27871:3027274]
:INPUT ACCEPT [27418:2991500]
:OUTPUT ACCEPT [48491:3681377]
:POSTROUTING ACCEPT [1115:67462]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [7441829:404174002]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [14280656:20766836283]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br0 -o ppp0 -j ACCEPT
COMMIT

Спасибо заранее.

UPD1: Конечно, я с forward от br0 на ppp0 тоже пробовал (как сделано это в iptables), однако инструкции говорят, что это не обязательно, да и не помогает, я пробовал.

nftables

LuD
(10.07.18 08:44:49 MSK)

4 комментария

bumblebee, 2 gpu и 2 экрана [РЕШЕНО]

Форум — General

Доброго времени суток.

Лор читаю уже порядка полугода, очень занимательно, всем обитателям спасибо. Не могу заставить работать одновременно 2 монитора. Сума сходить уже начинаю. Суть в чем: к экрану ноутбука привязан видеочип intel, а к hdmi и Mini DisplayPort напрямую привязан к видеочипу nvidia. Пользуюсь проприетарными блобами (nvidia 378.13-5).

Без конфига xorg.conf работает монитор ноутбука, а hdmi пишет «нет сигнала».

По инструкции: intel-virtual-output выдает no virtual outputs on 0 и в этот момент xrandr --listproviders только один Intel

Однако, если вывести, например Chrome на DISPLAY=:8 (с подрузкой модулей, как в инструкции), то на внешнем мониторе он появится (место надписи нет сигнала), с ним можно работать, однако мышь и клавиатура работают одновременно на двух дисплеях: 0 на встроенном, и 8 на внешнем. Получается, что пока я кликаю на дисплее 0, то и на том же месте происходит клик на дисплее 8.

Начиная с секции, когда нужно добавлять xorg.conf файл (чтобы можно было использовать 2 монитора нормально) работает только внешний монитор (hdmi) а монитор ноутбука черный экран. В этот момент xrandr --listproviders видно nvidia и intel видеочипы. Что занимательно при переключении на ctrl+alt+f2 изображение на hdmi пропадает и выводит изображение на экране ноутбука. xrandr --setprovideroutputsource Intel NVIDIA-0 по каким-то причинам выводит X Error of failed request: BadValue (integer parameter out of range for operation)

Я понимаю, что я нуб, что чего-то не хватает в xorg.conf или еще что. Подскажите, пожалуйста, приму любую полезную информацию.

uname Linux lupc 4.10.8-1-ARCH x86_64 GNU/Linux

Что упустил предоставить, напишите.

arch, bumblebee, hdmi, nvidia