Precedente :: Successivo |
Autore |
Messaggio |
Mario Vittorio Guenzi Ospite
|
Inviato: Ven 22 Ott 2021 08:13 Oggetto: nftables & cose assurde |
|
|
Buongiorno a tutti,
e' ormai una settimana che ci picchio la testa e non ne vengo fuori,
siamo a livello di manicomio o giu' di li.
In sostanza la VPN (openvpn) nel primo caso fila come un razzo nel
secondo non c'e' verso di alzarla.
Ambiente macchina virtuale (ma testato anche su ferro) con devuan 4
kernel 5.10.0-9-amd64
nftables v0.9.8 (E.D.S.)
se io scrivo queste due regole in questa maniera funziona
table inet firewall {
chain INPUT {
type filter hook input priority 0; policy drop;
ct state established, related counter accept
ct state invalid counter drop
...
...
...
}
chain FORWARD {
type filter hook forward priority 0; policy drop;
ct state established, related counter accept
ct state invalid counter drop
...
...
...
### VPN
iif $EXTIF oif $INTIF ip daddr $CHIMERA tcp dport { 775,
1194 } ct state new counter accept
...
....
}
chain OUTPUT {
type filter hook output priority 0; policy drop;
ct state new, established, related counter accept
ct state invalid counter drop
iif $LO accept
}
table inet fw-nat {
chain PREROUTING {
type nat hook prerouting priority -100;
# invalid
ct state invalid counter drop
### VPN
iif $EXTIF ip daddr $VPNIP tcp dport { 775, 1194 } counter
dnat to $CHIMERA
}
chain POSTROUTING {
type nat hook postrouting priority 100;
# invalid
ct state invalid counter drop
masquerade
}
Se io le scrivo in questa maniera no nemmeno se piango
add table inet firewall
add table inet fw-nat
add chain inet firewall INPUT { type filter hook input priority 0;
policy drop; }
add chain inet firewall FORWARD { type filter hook forward priority 0;
policy drop; }
add chain inet firewall OUTPUT { type filter hook output priority 0;
policy drop; }
add chain inet fw-nat PREROUTING { type nat hook prerouting priority -100; }
add rule inet firewall FORWARD iif $EXTIF oif $INTIF ip daddr $CHIMERA
tcp dport { 775, 1194 } ct state new counter accept
add rule inet fw-nat PREROUTING iif $EXTIF ip daddr $VPNIP tcp dport {
775, 1194 } counter dnat to $CHIMERA
Sono la stessa identica cosa scritta in modo diverso ma sono la stessa
identica cosa!!!
Non ci arrivo, qualcuno per cortesia puo' spiegarmi cosa sbaglio e se
sbaglio a questo punto perche' comincio ad avere dei dubbi.
Aggiungo che il secondo tipo di scrittura sino a scorsa settimana su
beowulf andava senza nessun problema.
Ringrazio in anticipo se qualcuno sapra' dirmi qualcosa a riguardo.
_________________
Mario Vittorio Guenzi
E-mail jclark@xxxxxx.xyz
Si vis pacem, para bellum |
|
Top |
|
|
Michele Finelli Ospite
|
Inviato: Ven 22 Ott 2021 09:20 Oggetto: nftables & cose assurde |
|
|
* Mario Vittorio Guenzi (jclark@xxxxxx.xyz) [211022 08:34]:
Citazione: |
add table inet firewall
add table inet fw-nat
add chain inet firewall INPUT { type filter hook input priority 0;
policy drop; }
add chain inet firewall FORWARD { type filter hook forward priority 0;
policy drop; }
add chain inet firewall OUTPUT { type filter hook output priority 0;
policy drop; }
add chain inet fw-nat PREROUTING { type nat hook prerouting priority -100; }
add rule inet firewall FORWARD iif $EXTIF oif $INTIF ip daddr $CHIMERA
tcp dport { 775, 1194 } ct state new counter accept
add rule inet fw-nat PREROUTING iif $EXTIF ip daddr $VPNIP tcp dport {
775, 1194 } counter dnat to $CHIMERA
Sono la stessa identica cosa scritta in modo diverso ma sono la stessa
identica cosa!!!
|
mi sembra che nelle regole qua sopra la parte di POSTROUTING non ci sia
_________________
.*. finelli
/V\
(/ \) --------------------------------------------------------------
( ) Linux: Friends dont let friends use Piccolosoffice
^^-^^ --------------------------------------------------------------
Io non voglio essere trattata alla stregua di una criminale, con il
rumore perenne dell?elicottero sopra la mia testa che mi sembra di
essere in un B-movie ambientato in Vietnam, non accetto che un
carabiniere con la conoscenze mediche di un criceto mi intimi di
indossare la mascherina nel deserto e senza anima viva presente nel
raggio di chilometri.
https://www.wumingfoundation.com/giap/2020/04/salvatore-ricciardi/#comment-37147 |
|
Top |
|
|
Mario Vittorio Guenzi Ospite
|
Inviato: Ven 22 Ott 2021 14:36 Oggetto: nftables & cose assurde |
|
|
Il 22/10/21 09:41, Michele Finelli ha scritto:
Citazione: | Citazione: | Sono la stessa identica cosa scritta in modo diverso ma sono la stessa
identica cosa!!!
|
mi sembra che nelle regole qua sopra la parte di POSTROUTING non ci sia
|
semplicemente non l'ho copiata ma c'e'
tutto quello che' scritto in modo {
bla bla bla
}
e' scritto in modo add bla bla bla
e nello stesso ordine, ti assicuro che e' roba da mal di testa :(
_________________
Mario Vittorio Guenzi
E-mail jclark@xxxxxx.xyz
Si vis pacem, para bellum |
|
Top |
|
|
Mario V Guenzi Ospite
|
Inviato: Lun 25 Ott 2021 09:13 Oggetto: nftables & cose assurde |
|
|
Il 22/10/21 08:34, Mario Vittorio Guenzi ha scritto:
Citazione: |
### VPN
iif $EXTIF ip daddr $VPNIP tcp dport { 775, 1194 } counter
dnat to $CHIMERA
}
|
Citazione: | add rule inet fw-nat PREROUTING iif $EXTIF ip daddr $VPNIP tcp dport {
775, 1194 } counter dnat to $CHIMERA
|
la soluzione per quanto assurda e':
add rule inet fw-nat PREROUTING iif $EXTIF ip daddr $VPNIP tcp dport 775
counter dnat to $CHIMERA:775
add rule inet fw-nat PREROUTING iif $EXTIF ip daddr $VPNIP tcp dport
1194 counter dnat to $CHIMERA:1194
Che sia io sia maledetto se capisco il perche' ma funziona.
Grazie a tutti comunque. |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|