Nftables nat: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „=DNAT zum client= ;Zuerst dem Client über dhcp eine feste IP zu teilen *cat /etc/dhcp/dhcpd.conf host debian-client { hardware ethernet 08:00:27:81:79:c4;…“) |
|||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
=DNAT zum client= | =DNAT zum client= | ||
;Zuerst dem Client über dhcp eine feste IP zu teilen | ;Zuerst dem Client über dhcp eine feste IP zu teilen | ||
| − | *cat /etc/ | + | *cat /etc/kea/kea-dhcp4.conf |
| − | + | { "hw-address": "aa:bb:cc:dd:ee:ff", "ip-address": "172.26.2XX.10", "hostname": "client" } | |
| − | + | ;Neustart nicht vergessen | |
| − | + | *systemctl restart kea-dhcp4-server.service | |
| − | + | ||
| Zeile 11: | Zeile 11: | ||
;Man soll über den port 9922 und der äusseren Ip der Firewall per ssh auf den Client auf Port 22 zugreifen | ;Man soll über den port 9922 und der äusseren Ip der Firewall per ssh auf den Client auf Port 22 zugreifen | ||
| − | <span style="color:#FF0000">define | + | <span style="color:#FF0000">define CLIENT = 172.26.2XX.10</span> |
table inet filter { | table inet filter { | ||
| Zeile 19: | Zeile 19: | ||
ct state established,related accept | ct state established,related accept | ||
... | ... | ||
| − | <span style="color:#FF0000">ct state new iif $ | + | <span style="color:#FF0000">ct state new iif $WANDEV oif $LANDEV ip daddr $CLIENT tcp dport 22 accept</span> |
log prefix "--nftables-drop-forward--" | log prefix "--nftables-drop-forward--" | ||
| Zeile 28: | Zeile 28: | ||
<span style="color:#FF0000">chain prerouting {</span> | <span style="color:#FF0000">chain prerouting {</span> | ||
<span style="color:#FF0000">type nat hook prerouting priority dstnat; policy accept;</span> | <span style="color:#FF0000">type nat hook prerouting priority dstnat; policy accept;</span> | ||
| − | <span style="color:#FF0000">ip daddr $wanip tcp dport 9922 dnat ip to $ | + | <span style="color:#FF0000">ip daddr $wanip tcp dport 9922 dnat ip to $CLIENT:22</span> |
<span style="color:#FF0000">}</span> | <span style="color:#FF0000">}</span> | ||
Aktuelle Version vom 8. Mai 2026, 05:19 Uhr
DNAT zum client
- Zuerst dem Client über dhcp eine feste IP zu teilen
- cat /etc/kea/kea-dhcp4.conf
{ "hw-address": "aa:bb:cc:dd:ee:ff", "ip-address": "172.26.2XX.10", "hostname": "client" }
- Neustart nicht vergessen
- systemctl restart kea-dhcp4-server.service
- Man soll über den port 9922 und der äusseren Ip der Firewall per ssh auf den Client auf Port 22 zugreifen
define CLIENT = 172.26.2XX.10 table inet filter { .... chain forward { type filter hook forward priority filter; policy drop; ct state established,related accept ... ct state new iif $WANDEV oif $LANDEV ip daddr $CLIENT tcp dport 22 accept log prefix "--nftables-drop-forward--" }
table inet nat {
chain prerouting {
type nat hook prerouting priority dstnat; policy accept;
ip daddr $wanip tcp dport 9922 dnat ip to $CLIENT:22
}