Que mal com snat in nftables?

Question

Que mal com snat in nftables?

#1 resposta do (0 votos)

2

Eu tenho duas máquinas virtuais (servidor, cliente) com wireguard vpn. Quando tento pingar qualquer recurso IPv6 dos pacotes do cliente não retorna ao cliente.

Tcpdump me mostra os pacotes de resposta ICMP na interface enp0s3 (servidor), não no wg0 (interface vpn no servidor). Mas se desabilitar nftables e iniciar ip6tables, tudo funciona. Após este passo eu desabilito ip6tables e habilito nftables ... Todos continuam trabalhos ...

Versões de software:

NixOS: 17.09.git.ebaff59 (Hummingbird)
WireGuard: 0.0.20170706
Nftables: 0.7

Crie imagens ISO com os próximos comandos:

Servidor:

nix-build -A config.system.build.isoImage -I nixos-config=./wireguard_server_10.nix ./nixpkgs/nixos/default.nix

Cliente:

nix-build -A config.system.build.isoImage -I nixos-config=./wireguard_client_20.nix ./nixpkgs/nixos/default.nix

Aqui nix arquivos:

link

Crie máquinas virtuais com os próximos comandos:

Servidor:

virt-install \
--name NixOSVS10 \
--ram 1024 \
--vcpus 1 \
--cdrom /tmp/nixos_10.iso \
--os-type linux \
--nodisk \
--network bridge=br0 \
--graphics vnc,password="ABCDEF",port=5910,listen=2a01:4f8:xx:xx::13 \
--autostart \
--noautoconsole

Cliente:

virt-install \
--name NixOSVS20 \
--ram 1024 \
--vcpus 1 \
--cdrom /tmp/nixos_20.iso \
--os-type linux \
--nodisk \
--network bridge=br0 \
--graphics vnc,password="ABCDEF",port=5920,listen=2a01:4f8:xx:xx::13 \
--autostart \
--noautoconsole

Regras de nftables:

Servidor:

link

Cliente:

link

Saída para ip a, ip -6 rota, rota -6, wg, sysctl -a, dmesg, lsmod.

Servidor:

link

Cliente:

link

Registros do Tcpdump do cliente. Endereço IPv6 de ping 2001: 19f0: 7400: 87a2 :: 64 ( link )

link

Saída de / proc / net / nf_conntrack:

com nftables:

link

Com ip6tables:

link

Snat não funciona corretamente em nftables. Mas trabalhe depois dos próximos passos:

[root@nixos:~]# systemctl stop nftables
[root@nixos:~]# ip6tables -t nat -A POSTROUTING -o enp0s3 -j SNAT --to-source 2a01:4f8:xx:xx::10

vpn iptables nat nftables ip6tables

por Sorcus 10.07.2017 / 23:04

1 resposta

Tags vpn iptables nat nftables ip6tables

svn diff retorna E175009 após ~ 25 minutos debian interno-sftp -u 0002 umask não funciona corretamente - execute a permissão ausente

score 0 · Accepted Answer

Resolvido. link

You are probably lacking the reply NAT chain, which needs to be registered.

https://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_(NAT)

I'm updating right now the wiki to put this in bold.