Nftables Masquerade: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 41: | Zeile 41: | ||
*DNAT '''früh''', weil das Ziel schon geändert sein muss, bevor geroutet wird. | *DNAT '''früh''', weil das Ziel schon geändert sein muss, bevor geroutet wird. | ||
*SNAT '''spät''', weil erst klar sein muss, '''welches Interface''' das Paket verlässt. | *SNAT '''spät''', weil erst klar sein muss, '''welches Interface''' das Paket verlässt. | ||
| − | + | ;Enablen | |
* '''systemctl enable --now nftables''' | * '''systemctl enable --now nftables''' | ||
= Links = | = Links = | ||
* https://wiki.gentoo.org/wiki/Nftables/Examples | * https://wiki.gentoo.org/wiki/Nftables/Examples | ||
Version vom 22. März 2025, 09:11 Uhr
Routing Firewall
- Eine einfache Firewall, die Pakete aus dem LAN ins WAN weiterleitet
- Pakete aus dem WAN von etablierten Verbindungen sollen ins LAN geleitet werden
Routing aktivieren
- sysctl -w net.ipv4.ip_forward=1
- falls das rebootfähig sein soll, muss die Datei /etc/sysctl.conf bearbeitet werden
- vim /etc/sysctl.conf
... net.ipv4.ip_forward = 1 ...
- sysctl -p
Einfaches NAT
- Quell IP Adressen aus dem LAN sollen auf die WAN IP geändert werden
- Am einfachsten ist dafür das "Masquerading";
- Sowohl dynamische als auch statische WAN IPs können damit Zugriff auf das Internet gewähren
- vim /etc/nftables.conf
flush ruleset
...
table ip nat {
chain prerouting {
type nat hook prerouting priority -100; policy accept;
}
chain postrouting {
type nat hook postrouting priority 100; policy accept;
oif "name_des_wan_interfaces" masquerade
}
}
;Merksatz
- DNAT früh, weil das Ziel schon geändert sein muss, bevor geroutet wird.
- SNAT spät, weil erst klar sein muss, welches Interface das Paket verlässt.
- Enablen
- systemctl enable --now nftables