Участник с: 07 апреля 2017
|
Доброго времени суток. В связи с https://developers.redhat.com/blog/2017/04/11/benchmarking-nftables/ и https://www.linux.org.ru/forum/talks/14297919/page1#comments хотелось настроить nftables.
Использую следующую, минимальную, настройку для моей цели:
$ cat /etc/nftables.conf
flush ruleset
table inet filter {
chain input {
type filter hook input priority 0; policy accept;
}
chain forward {
type filter hook forward priority 0; policy accept;
}
chain output {
type filter hook output priority 0; policy accept;
}
}
table ip nat {
chain prerouting {
type nat hook prerouting priority 0; policy accept;
}
chain postrouting {
type nat hook postrouting priority 100; policy accept;
oifname ppp0 counter masquerade
}
}
Однако, же, большенство сайтов теперь недоступны и отвечают icmp: dest. unreachable. Пользуясь FF или Chromium отлично открываются: google.com, youtube.com и различные Google сайты и сервисы, при том что я использую OpenDNS (208.67.222.222). В общем вот сетевые данные:
2: enp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether e8:11:32:xx:xx:xx brd ff:ff:ff:ff:ff:ff
valid_lft forever preferred_lft forever
3: wlp2s0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UP group default qlen 1000
link/ether c0:f8:da:xx:xx:xx brd ff:ff:ff:ff:ff:ff
valid_lft forever preferred_lft forever
4: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether c0:f8:da:xx:xx:xx brd ff:ff:ff:ff:ff:ff
inet 192.168.x.1/24 brd 192.168.x.255 scope global br0
valid_lft forever preferred_lft forever
5: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc fq_codel state UNKNOWN group default qlen 3
link/ppp
inet xx.xx.xx.xx peer xx.xx.xx.xx/32 scope global ppp0
valid_lft forever preferred_lft forever
Создан виртуальный br0 - на нём, на данный момент, только wifi раздача с dhcp (dnsmasq). А через enp6s0 создаётся ppp0. Самое смешное, что iptables отключен, но он отображает что все направления accept, без правил. Если я включаю iptables и nftables, конечно, nftables утверждает что ресурс занят. При минимальных настройках iptables всё отлично:
$ sudo iptables-save
*nat
:PREROUTING ACCEPT [27871:3027274]
:INPUT ACCEPT [27418:2991500]
:OUTPUT ACCEPT [48491:3681377]
:POSTROUTING ACCEPT [1115:67462]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT [7441829:404174002]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [14280656:20766836283]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i br0 -o ppp0 -j ACCEPT
COMMIT
Спасибо заранее.
|