Описание тега nftables
1
ответ
Как забанить <SUBNET> с помощью Fail2ban и nftables
У меня Debian 10, Fail2Ban v0.10.6 с iptables и фильтр с<SUBNET>работает. Сейчас у меня Ubuntu 22.04, Fail2Ban v0.11.2, и я пытаюсь заставить его работать с nftables. я добавил толькоjail.localдля нфтаблес. Моя конфигурация: # /etc/fail2ban/fa…
06 фев '23 в 12:16
0
ответов
Что такое счетчик карпов l4proto в nftables?
Я конвертировал свои правила iptables в nbtables, и скрипт выдал несколько ошибок. Одним из них было: добавить правило ip6 mangle protos_check мета l4proto carp counter return, которое было переведено из -A protos_check --protocol 112 --jump RETURN …
05 апр '23 в 07:15
1
ответ
Как перенаправить трафик из контейнера А в контейнер Б при использовании адреса внешнего интерфейса
Следуя краткой/упрощенной схеме моей установки (извините за заголовок): Internet ----- eth0 (1.2.3.4) --- br0 (10.0.0.1) | +---------------+---------------+ | | veth0 (10.0.0.2) veth1 (10.0.0.3) httpd app Я перенаправляю внешний трафик через обычный…
17 апр '22 в 20:07
0
ответов
Как выполнить «маршрутизацию на основе MAC-адреса источника» с помощью nftables
(Это упрощенная версия: может ли Linux выполнять «маршрутизацию на основе MAC-адреса источника?» ) У меня есть устройство, которому необходимо направить исходящие пакеты обратно на интерфейс MAC, где были получены входящие пакеты. Это считается «мар…
04 апр '22 в 21:37
1
ответ
Как создать правило nftables, которое принимает соединения из одной и той же подсети IPv6, если префикс IPv6 является динамическим?
Для IPv4 легко создать правило, которое принимает соединения, например, только от хостов одной подсети (при условии, что мой компьютер192.168.42.2, и входящее соединение192.168.42.20): table ip firewall { chain incoming { type filter hook input prio…
10 июн '23 в 18:37
1
ответ
Как разрешить трафик через VPN в пространствах имен с помощью nftables
У меня есть интерфейс Wireguard, настроенный в выделенном пространстве имен. Настраивается сначала создание интерфейса в основном пространстве имен (который имеет доступ к маршрутизации физического интерфейса в Интернет), затем перемещение интерфейс…
08 окт '22 в 05:17
1
ответ
nft_pipapo_avx2_scratch_index отображается на всех моих записях перформанса
Я исследую проблему с производительностью на моем компьютере с Ubuntu 22.04.2 LTS. Я предпринимаю следующие шаги: sudo perf record -g -F max -s --call-graph dwarf -e cycles -e sched:sched_switch --switch-events --sample-cpu Затем откройте запись с п…
08 апр '23 в 14:26
0
ответов
Правила nftables. syantax получает ошибку при добавлении правила.
Я пытаюсь добавить это правило nft insert rule ip nat PREROUTING iifname enp0s3 udp dport 9100 counter dnat to 192.168.150.2 Я получаю эту ошибку [root@ph3ro]# nft insert rule ip nat PREROUTING iifname enp0s3 udp dport 9100 counter dnat to 192.168.1…
11 май '22 в 19:48
0
ответов
проблема nftables или fw4 с правилами дорожного движения, основанными на времени
Поскольку версия OpenWRT > 22.3 использует NFTABLES вместо IPTABLES, у меня возникла проблема с некоторыми правилами трафика брандмауэра (fw4), основанными на времени, и я понятия не имею, как их решить. Правило брандмауэра следующее: config rule…
02 авг '22 в 12:49
0
ответов
nftables: Как добиться поведения BROUTING, такого как наследие ebtables?
В таблицахBROUTINGцепочка вbrouteтаблица имеет особое поведение и действия:ACCEPTозначает мостовой/прямой путь иDROPозначает маршрутизацию/входной путь. Например, чтобы заставить все пакеты, отличные от IPv6, проходить через NAT с соответствующими н…
23 июн '22 в 18:50
0
ответов
Как разрешить статический маршрут через брандмауэр nftables/nat
У меня есть следующие два интерфейса на шлюзе nftables. eth0 (192.168.0.1) подключен к сети 192.168.0.0/24 eth1 (172.16.0.1) подключен к сети 172.16.0.0/24 Я создал следующую настройку flush ruleset table inet filter { chain input { type filter hook…
04 дек '22 в 10:39
1
ответ
Проблема с NFTABLE: IPv6 не ведет себя как IPv4 с зеркальной конфигурацией
У меня проблема с IPv6 на моем сервере. У меня настроен nginx на прослушивание порта 443 из IPv4 и IPv6. И это прекрасно работает: мой веб-сайт доступен из Интернета с включенным TLS. Все усложняется, когда я активирую nftables: когда я захожу на св…
28 сен '21 в 12:13
0
ответов
Использование карт nftables
У меня есть сеть Wireguard, в которой я хочу, чтобы «хост» пересылал некоторый трафик на несколько сетевых камер в своей локальной сети. Указанный узел регистрирует несколько IP-адресов, и я хочу использовать nftables для маршрутизации трафика к опр…
09 мар '23 в 17:55
1
ответ
nftables в Debian: реклама маршрутизатора не обрабатывается
Я хочу фильтровать пакеты IPv6 на хосте Debian с помощью nftables. В разделе «табличный фильтр ip6» в «входе цепочки» я используюicmpv6 type {echo-request,nd-neighbor-solicit,nd-router-solicit,mld-listener-query,nd-neighbor-advert,nd-router-advert} …
23 май '21 в 20:53
1
ответ
Перевести конфигурацию WireGuard из iptables в nft
Я устанавливал WireGuard на новый образ ОС Raspberry Pi и хотел перенести на него конфигурацию сервера с другого устройства. Но при вызове интерфейса выяснилось, что он не может найтиiptablesкоманда. Именно тогда я вспомнил, что iptables считается у…
26 ноя '21 в 17:05
0
ответов
Linux: разрешить исходящие подключения только к определенным доменам
У меня есть сервер CentOS, и я хочу разрешить исходящие подключения только к определенным доменам. (список разрешений) Моя мысль заключалась в том, чтобы иметь DNS-прокси, который добавляет разрешенные IP-адреса (нужен только ipv4) в именованные наб…
06 сен '21 в 14:22
0
ответов
Nftables завершает работу с надписью «Killed» при попытке обновить набор с огромным списком ip
У меня есть огромный список IP-адресов (около 300 000), которые я хочу поместить в набор nftables (для использования с pbr в openwrt). В настоящее время я напрямую выполняю добавление элемента со всеми IP-адресами, но nftables работает некоторое вре…
21 мар '23 в 15:55
0
ответов
Как обойти VPN-туннель для одного докер-контейнера с помощью nftables?
Я пытаюсь найти решение для обхода VPN-туннеля во входящем и исходящем докер-контейнере. Я использую VPN Mullvad VPN, и в разделе раздельного туннелирования они рассказали, как исключить исходящий трафик для определенных IP-адресов. Это не работает …
24 июн '23 в 16:43
0
ответов
iptables в nftables для iKEv2 IPSEC VPN-сервера
Может ли кто-нибудь помочь преобразовать приведенные ниже правила iptable в эквивалентные правила nftables ? Я уже пробовал использовать iptables-translate, но он не переводит все мои правила... # accept ports 500 and 4500, required for IKEv2 sudo i…
29 мар '22 в 10:39
0
ответов
nftables отключает/отключает интерфейсы Wi-Fi
Я пытаюсь переключиться на nftables, чтобы настроить переадресацию портов. Но когда я включаю службу nftables, она отключает мое Wi-Fi-соединение. При попытке подключения к точке доступа получаюError: Connection activation failed: (4) The device cou…
07 окт '21 в 21:54