Version vom 8. Mai 2026, 05:18 Uhr

DNAT zum client

Zuerst dem Client über dhcp eine feste IP zu teilen

cat /etc/kea/kea-dhcp4.conf

         { "hw-address": "aa:bb:cc:dd:ee:ff", "ip-address": "172.26.2XX.10", "hostname": "client" }

Man soll über den port 9922 und der äusseren Ip der Firewall per ssh auf den Client auf Port 22 zugreifen

 define CLIENT = 172.26.2XX.10

table inet filter {
   ....
   chain forward {
   type filter hook forward priority filter; policy drop;
   ct state established,related accept
   ...
    ct state new iif $WANDEV oif $LANDEV ip daddr $CLIENT tcp dport 22 accept
   log prefix "--nftables-drop-forward--"

}

table inet nat {
    chain prerouting {
        type nat hook prerouting priority dstnat; policy accept;
        ip daddr $wanip tcp dport 9922 dnat ip to $client:22
      }

@@ Zeile 1: / Zeile 1: @@
 =DNAT zum client=
 ;Zuerst dem Client über dhcp eine feste IP zu teilen
-*cat /etc/dhcp/dhcpd.conf
+*cat /etc/kea/kea-dhcp4.conf
- host debian-client {
+          { "hw-address": "aa:bb:cc:dd:ee:ff", "ip-address": "172.26.2XX.10", "hostname": "client" }
-  hardware ethernet  08:00:27:81:79:c4;
-  fixed-address      172.17.213.49;
- }
@@ Zeile 11: / Zeile 10: @@
 ;Man soll über den port 9922 und der äusseren Ip der Firewall per ssh auf den Client auf Port 22 zugreifen
-   <span style="color:#FF0000">define client = 172.17.213.49</span>
+   <span style="color:#FF0000">define CLIENT = 172.26.2XX.10</span>
   table inet filter {
@@ Zeile 19: / Zeile 18: @@
      ct state established,related accept
      ...
-      <span style="color:#FF0000">ct state new iif $wandev oif $landev ip daddr $client tcp dport 22 accept</span>
+      <span style="color:#FF0000">ct state new iif $WANDEV oif $LANDEV ip daddr $CLIENT tcp dport 22 accept</span>
      log prefix "--nftables-drop-forward--"

Nftables nat: Unterschied zwischen den Versionen

Version vom 8. Mai 2026, 05:18 Uhr

DNAT zum client

Navigationsmenü

Suche