Indice del forum Emilia Romagna Linux Users Group
i forum di ERLUG
torna alla home page di ERLUG
 
 Forum SubscriptionsForum Subscriptions   FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

nftables & cose assurde

 
Nuovo argomento   Rispondi    Indice del forum -> ERLUG
Precedente :: Successivo  
Autore Messaggio
Mario Vittorio Guenzi
Ospite





MessaggioInviato: Ven 22 Ott 2021 08:13    Oggetto: nftables & cose assurde Rispondi citando

Buongiorno a tutti,
e' ormai una settimana che ci picchio la testa e non ne vengo fuori,
siamo a livello di manicomio o giu' di li.
In sostanza la VPN (openvpn) nel primo caso fila come un razzo nel
secondo non c'e' verso di alzarla.
Ambiente macchina virtuale (ma testato anche su ferro) con devuan 4
kernel 5.10.0-9-amd64
nftables v0.9.8 (E.D.S.)

se io scrivo queste due regole in questa maniera funziona

table inet firewall {

chain INPUT {
type filter hook input priority 0; policy drop;
ct state established, related counter accept
ct state invalid counter drop
...
...
...

}

chain FORWARD {
type filter hook forward priority 0; policy drop;
ct state established, related counter accept
ct state invalid counter drop
...
...
...
### VPN
iif $EXTIF oif $INTIF ip daddr $CHIMERA tcp dport { 775,
1194 } ct state new counter accept
...
....
}

chain OUTPUT {
type filter hook output priority 0; policy drop;
ct state new, established, related counter accept
ct state invalid counter drop
iif $LO accept
}

table inet fw-nat {
chain PREROUTING {
type nat hook prerouting priority -100;
# invalid
ct state invalid counter drop

### VPN
iif $EXTIF ip daddr $VPNIP tcp dport { 775, 1194 } counter
dnat to $CHIMERA
}
chain POSTROUTING {
type nat hook postrouting priority 100;
# invalid
ct state invalid counter drop
masquerade

}

Se io le scrivo in questa maniera no nemmeno se piango


add table inet firewall
add table inet fw-nat
add chain inet firewall INPUT { type filter hook input priority 0;
policy drop; }
add chain inet firewall FORWARD { type filter hook forward priority 0;
policy drop; }
add chain inet firewall OUTPUT { type filter hook output priority 0;
policy drop; }
add chain inet fw-nat PREROUTING { type nat hook prerouting priority -100; }
add rule inet firewall FORWARD iif $EXTIF oif $INTIF ip daddr $CHIMERA
tcp dport { 775, 1194 } ct state new counter accept
add rule inet fw-nat PREROUTING iif $EXTIF ip daddr $VPNIP tcp dport {
775, 1194 } counter dnat to $CHIMERA

Sono la stessa identica cosa scritta in modo diverso ma sono la stessa
identica cosa!!!
Non ci arrivo, qualcuno per cortesia puo' spiegarmi cosa sbaglio e se
sbaglio a questo punto perche' comincio ad avere dei dubbi.
Aggiungo che il secondo tipo di scrittura sino a scorsa settimana su
beowulf andava senza nessun problema.
Ringrazio in anticipo se qualcuno sapra' dirmi qualcosa a riguardo.


_________________
Mario Vittorio Guenzi
E-mail jclark@xxxxxx.xyz
Si vis pacem, para bellum
Top
Michele Finelli
Ospite





MessaggioInviato: Ven 22 Ott 2021 09:20    Oggetto: nftables & cose assurde Rispondi citando

* Mario Vittorio Guenzi (jclark@xxxxxx.xyz) [211022 08:34]:
Citazione:

add table inet firewall
add table inet fw-nat
add chain inet firewall INPUT { type filter hook input priority 0;
policy drop; }
add chain inet firewall FORWARD { type filter hook forward priority 0;
policy drop; }
add chain inet firewall OUTPUT { type filter hook output priority 0;
policy drop; }
add chain inet fw-nat PREROUTING { type nat hook prerouting priority -100; }
add rule inet firewall FORWARD iif $EXTIF oif $INTIF ip daddr $CHIMERA
tcp dport { 775, 1194 } ct state new counter accept
add rule inet fw-nat PREROUTING iif $EXTIF ip daddr $VPNIP tcp dport {
775, 1194 } counter dnat to $CHIMERA

Sono la stessa identica cosa scritta in modo diverso ma sono la stessa
identica cosa!!!

mi sembra che nelle regole qua sopra la parte di POSTROUTING non ci sia

_________________
.*. finelli
/V\
(/ \) --------------------------------------------------------------
( ) Linux: Friends dont let friends use Piccolosoffice
^^-^^ --------------------------------------------------------------

Io non voglio essere trattata alla stregua di una criminale, con il
rumore perenne dell?elicottero sopra la mia testa che mi sembra di
essere in un B-movie ambientato in Vietnam, non accetto che un
carabiniere con la conoscenze mediche di un criceto mi intimi di
indossare la mascherina nel deserto e senza anima viva presente nel
raggio di chilometri.

https://www.wumingfoundation.com/giap/2020/04/salvatore-ricciardi/#comment-37147
Top
Mario Vittorio Guenzi
Ospite





MessaggioInviato: Ven 22 Ott 2021 14:36    Oggetto: nftables & cose assurde Rispondi citando

Il 22/10/21 09:41, Michele Finelli ha scritto:

Citazione:
Citazione:
Sono la stessa identica cosa scritta in modo diverso ma sono la stessa
identica cosa!!!

mi sembra che nelle regole qua sopra la parte di POSTROUTING non ci sia


semplicemente non l'ho copiata ma c'e'
tutto quello che' scritto in modo {
bla bla bla
}
e' scritto in modo add bla bla bla
e nello stesso ordine, ti assicuro che e' roba da mal di testa :(
_________________
Mario Vittorio Guenzi
E-mail jclark@xxxxxx.xyz
Si vis pacem, para bellum
Top
Mario V Guenzi
Ospite





MessaggioInviato: Lun 25 Ott 2021 09:13    Oggetto: nftables & cose assurde Rispondi citando

Il 22/10/21 08:34, Mario Vittorio Guenzi ha scritto:

Citazione:

### VPN
iif $EXTIF ip daddr $VPNIP tcp dport { 775, 1194 } counter
dnat to $CHIMERA
}


Citazione:
add rule inet fw-nat PREROUTING iif $EXTIF ip daddr $VPNIP tcp dport {
775, 1194 } counter dnat to $CHIMERA


la soluzione per quanto assurda e':

add rule inet fw-nat PREROUTING iif $EXTIF ip daddr $VPNIP tcp dport 775
counter dnat to $CHIMERA:775
add rule inet fw-nat PREROUTING iif $EXTIF ip daddr $VPNIP tcp dport
1194 counter dnat to $CHIMERA:1194
Che sia io sia maledetto se capisco il perche' ma funziona.
Grazie a tutti comunque.
Top
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ERLUG Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it

torna alla home page di ERLUG
Per informazioni o problemi, contattare info@erlug.linux.it.
La connettività per questo sito e per gli altri nostri servizi è offerta da Ehiweb.it