[gelöst] debian nftable prerouting Frage

[joe2017]

Hallo zusammen,

ich habe eine kleine Frage zu einem nftable prerouting. Ich habe folgende Einträge:

Code: Alles auswählen

table ip nat {
	chain prerouting {
		type nat hook prerouting priority 0; policy accept;
		ip daddr 172.16.6.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.6.0 comment "dnat"
		ip daddr 172.16.7.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.7.0 comment "dnat"
		ip daddr 172.16.8.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.8.0 comment "dnat"
	}
}

Dies funktioniert soweit auch alles.
Jetzt wollte ich eine bestimmte IP aus diesen Bereichen in ein anderes Netz routen. Jedoch funktioniert das nicht. Ich habe folgendes versucht:

Code: Alles auswählen

table ip nat {
	chain prerouting {
		type nat hook prerouting priority 0; policy accept;
		ip daddr 172.16.6.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.6.0 comment "dnat"
		ip daddr 172.16.7.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.7.0 comment "dnat"
		ip daddr 172.16.8.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.8.0 comment "dnat"
		meta l4proto tcp ip daddr 172.16.6.45 counter packets 0 bytes 0 dnat to 10.20.6.45 comment "dnat"
		ip protocol tcp ip daddr 172.16.6.45 counter packets 0 bytes 0 dnat to 10.20.6.45 comment "dnat"
	}
}

Die Regel alleine habe ich getestet und das funktioniert. Jedoch nicht wenn ich zuvor das ganze Netz preroute.

Code: Alles auswählen

table ip nat {
	chain prerouting {
		type nat hook prerouting priority 0; policy accept;
		meta l4proto tcp ip daddr 172.16.6.45 counter packets 0 bytes 0 dnat to 10.20.6.45 comment "dnat"
		ip protocol tcp ip daddr 172.16.6.45 counter packets 0 bytes 0 dnat to 10.20.6.45 comment "dnat"
	}
}

Weiß jemand wie ich das genau machen muss?

[WinMaik]

Einfach mal in's Blaue geraten:
Ziemlich sicher gewinnt die erste Regel, die greift. Daher würde ich die spezifischere Regel vor die Regeln packen, welche die ganzen Netze betreffen. Oder aber sie in eine andere Chain mit höherer Prio packen.

[joe2017]

Du meinst also entweder so:

Code: Alles auswählen

table ip nat {
	chain prerouting {
		type nat hook prerouting priority 0; policy accept;
		meta l4proto tcp ip daddr 172.16.6.45 counter packets 0 bytes 0 dnat to 10.20.6.45 comment "dnat"
		ip protocol tcp ip daddr 172.16.6.45 counter packets 0 bytes 0 dnat to 10.20.6.45 comment "dnat"
		ip daddr 172.16.6.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.6.0 comment "dnat"
		ip daddr 172.16.7.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.7.0 comment "dnat"
		ip daddr 172.16.8.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.8.0 comment "dnat"
	}
}

Oder so:

Code: Alles auswählen

table ip nat {
	chain preroutingFirst {
		type nat hook prerouting priority 0; policy accept;
		meta l4proto tcp ip daddr 172.16.6.45 counter packets 0 bytes 0 dnat to 10.20.6.45 comment "dnat"
		ip protocol tcp ip daddr 172.16.6.45 counter packets 0 bytes 0 dnat to 10.20.6.45 comment "dnat"
	}
	chain prerouting {
		type nat hook prerouting priority 1; policy accept;
		ip daddr 172.16.6.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.6.0 comment "dnat"
		ip daddr 172.16.7.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.7.0 comment "dnat"
		ip daddr 172.16.8.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.8.0 comment "dnat"
	}
}

[joe2017]

Ich konnte soeben meinen Test machen. Folgendes hat funktioniert:

Code: Alles auswählen

table ip nat {
	chain prerouting {
		type nat hook prerouting priority 0; policy accept;
		meta l4proto tcp ip daddr 172.16.6.45 counter packets 0 bytes 0 dnat to 10.20.6.45 comment "dnat"
		ip protocol tcp ip daddr 172.16.6.45 counter packets 0 bytes 0 dnat to 10.20.6.45 comment "dnat"
		ip daddr 172.16.6.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.6.0 comment "dnat"
		ip daddr 172.16.7.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.7.0 comment "dnat"
		ip daddr 172.16.8.0/24 dnat to ip daddr & 0.0.0.255 | 10.10.8.0 comment "dnat"
	}
}