[X-post] Tradurre regola di iptables per nftables su Bullseye

Discussione:

(troppo vecchio per rispondere)

^Bart

2022-12-04 17:19:10 UTC

Salve,

ancora non mi sono buttato sul mondo nftables, sarebbe ora lo sò ma di
cose da fare ce ne sono sempre tante\troppe... :\

Morale della favola devo tradurre questo:

-----------------------------------------------------------
#!/bin/bash
#Router script, forward wifi to eth

ip a add 10.10.1.1/255.255.255.0 dev enp0s25

/etc/init.d/isc-dhcp-server start

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -I FORWARD -i enp0s25 -o wlo1 -j ACCEPT

iptables -t nat -I POSTROUTING -o wlo1 -j MASQUERADE
------------------------------------------------------------

Ho provato ad installare iptables-translate ma non è pacchettizzato per
la mia Bullseye, sto cercando ora di trovare qualcosa online ma per ora
non ho trovato nulla di interessante... :\

Saluti.
^Bart

rootkit

2022-12-04 19:53:15 UTC

Permalink

perché "devi" tradurlo?

Post by ^Bart
Ho provato ad installare iptables-translate ma non è pacchettizzato per
la mia Bullseye, sto cercando ora di trovare qualcosa online ma per ora
non ho trovato nulla di interessante... :\

iptables-translate è nello stesso package iptables.

ad ogni modo:

nft insert rule ip filter FORWARD iifname "enp0s25" oifname "wlo1" counter
accept

nft insert rule ip nat POSTROUTING oifname "wlo1" counter masquerade

^Bart

2022-12-04 21:03:25 UTC

Permalink

Ti ringrazio intanto per la risposta!

Post by rootkit
perché "devi" tradurlo?

E' da un po' che non metto mano alle tabelle di routing e quindi potrei
sbagliarmi, tempo fa ricordo che iptables ed nftables non potevano
convivere anche se nftables è un framework di iptables...

Come già accennato non ricordo... volendo iniziare ad interagire con
nftables (mi sono già scaricato alcune guide che mi allieteranno le
festività natalizie assieme al rispolvero di Python) ho pensato di
partire con questo!

Post by rootkit
iptables-translate è nello stesso package iptables.

Quoto... almeno su questa Bullseye che ho su da quand'era testing,
domani in ufficio verificherò su una nuova Bullseye ed una Bookworm.

Post by rootkit
nft insert rule ip filter FORWARD iifname "enp0s25" oifname "wlo1" counter
accept
nft insert rule ip nat POSTROUTING oifname "wlo1" counter masquerade

Perfetto, grazie ancora! :)

Saluti.
^Bart

Bullseye01

2022-12-18 16:35:21 UTC

Permalink

Post by rootkit
nft insert rule ip filter FORWARD iifname "enp0s25" oifname "wlo1" counter
accept
nft insert rule ip nat POSTROUTING oifname "wlo1" counter masquerade

In questo modo tutto funziona:

ip a add 10.0.0.1/255.255.240.0 dev enp3s0
echo 1 > /proc/sys/net/ipv4/ip_forward
systemctl start isc-dhcp-server
iptables -I FORWARD -i enp3s0 -o wlp2s0 -j ACCEPT
iptables -t nat -I POSTROUTING -o wlp2s0 -j MASQUERADE

Se invece di iptable inserisco nftables riscontro invece questo errore:

# nft insert rule ip filter FORWARD iifname "enp3s0" oifname "wlp2s0"
counter accept

Error: Could not process rule: No such file or directory
insert rule ip filter FORWARD iifname enp3s0 oifname wlp2s0 counter accept
^^^^^^
Paradossalmente se dopo aver impartito le rotte con iptables uso quelle
tradotte per nftables non ho errori...

Da quanto letto qui
https://unix.stackexchange.com/questions/537912/nftables-rule-no-such-file-or-directory-error/618789
probabilmente nftables non può essere eseguito al volo ma necessità che
ci sia sotto del terreno?

Saluti.
^Bart

rootkit

2022-12-18 18:13:05 UTC

Permalink

Post by rootkit
nft insert rule ip filter FORWARD iifname "enp0s25" oifname "wlo1"
counter accept
nft insert rule ip nat POSTROUTING oifname "wlo1" counter masquerade

ip a add 10.0.0.1/255.255.240.0 dev enp3s0 echo 1 >
/proc/sys/net/ipv4/ip_forward systemctl start isc-dhcp-server iptables
-I FORWARD -i enp3s0 -o wlp2s0 -j ACCEPT iptables -t nat -I POSTROUTING
-o wlp2s0 -j MASQUERADE
# nft insert rule ip filter FORWARD iifname "enp3s0" oifname "wlp2s0"
counter accept
Error: Could not process rule: No such file or directory insert rule ip
filter FORWARD iifname enp3s0 oifname wlp2s0 counter accept
^^^^^^
Paradossalmente se dopo aver impartito le rotte con iptables uso quelle
tradotte per nftables non ho errori...

non c'è nulla di paradossale, se leggi la documentazione la prima
differenza che trovi fra nftables e iptables è che il primo non crea le
tables e le chains che sono di default per il secondo.
ti conviene dare una scorsa alla documentazione o almeno a qualche
tutorial prima di cominciare, andare per tentativi è dura.

^Bart

2022-12-18 19:14:56 UTC

Permalink

Post by rootkit
non c'è nulla di paradossale, se leggi la documentazione la prima
differenza che trovi fra nftables e iptables è che il primo non crea le
tables e le chains che sono di default per il secondo.
ti conviene dare una scorsa alla documentazione o almeno a qualche
tutorial prima di cominciare, andare per tentativi è dura.

Ok, grazie!

Saluti.
^Bart