Jacques MICHAU
2021-04-09 21:58:56 UTC
Hopla les admins,
Fraichement passé de iptables à nftables sur un tas de debian stable (je
suis en retard pour la migration -> nftables), j'en ai une seule qui
fait passerelle et que je viens juste de migrer.
Je fais mes rÚgles etc et là le drame, les machines NATtées derriÚre la
passerelle ne peuvent pas sortir, et les dnat de ports de l'extérieur
vers le LAN ne passent pas non plus.
Ca ne semble pas être les rÚgles nft, elles semblent raisonnables même
si mon expérience en nftables est limitée.
Je regarde les autres pistes qui bloqueraient l'ip forwarding et
pourtant tout me semble bon :
* /proc/sys/net/ipv4/ip_forward qui vaut 1
* net.ipv4.ip_forward=1 dans /etc/sysctl.conf + sysctl -p /etc/sysctl.conf
* si c'est systemd qui fait suer, j'ai tenté comme vu dans des docs un
fichier /etc/systemd/netword/eth1.network (eth1 étant mon lan, eth0
mon l'interface publique) et contenant
o [Match]
Name=eth1
[Network]
IPForward=ipv4  # j'ai tenté yes car pas sur de savoir si ça a
évolué de "ipv4" en "yes"
Une autre idée, un retour d'expérience ? Les manips ci-dessus sont tout
ce que je trouve de solutions temporaires ou définitives, en théorie,
pour activer le forwarding.
Détail : avant j'étais en iptables mais géré par shorewall ; depuis j'ai
viré le pkg shorewall, iptables aussi et rebooté au cas où il traine un
truc moisi.
Je fais des tcpdump de ports qui doivent être forwardé sur mon LAN, je
vois bien des demandes entrer puis rien qui traverse.
thx
Fraichement passé de iptables à nftables sur un tas de debian stable (je
suis en retard pour la migration -> nftables), j'en ai une seule qui
fait passerelle et que je viens juste de migrer.
Je fais mes rÚgles etc et là le drame, les machines NATtées derriÚre la
passerelle ne peuvent pas sortir, et les dnat de ports de l'extérieur
vers le LAN ne passent pas non plus.
Ca ne semble pas être les rÚgles nft, elles semblent raisonnables même
si mon expérience en nftables est limitée.
Je regarde les autres pistes qui bloqueraient l'ip forwarding et
pourtant tout me semble bon :
* /proc/sys/net/ipv4/ip_forward qui vaut 1
* net.ipv4.ip_forward=1 dans /etc/sysctl.conf + sysctl -p /etc/sysctl.conf
* si c'est systemd qui fait suer, j'ai tenté comme vu dans des docs un
fichier /etc/systemd/netword/eth1.network (eth1 étant mon lan, eth0
mon l'interface publique) et contenant
o [Match]
Name=eth1
[Network]
IPForward=ipv4  # j'ai tenté yes car pas sur de savoir si ça a
évolué de "ipv4" en "yes"
Une autre idée, un retour d'expérience ? Les manips ci-dessus sont tout
ce que je trouve de solutions temporaires ou définitives, en théorie,
pour activer le forwarding.
Détail : avant j'étais en iptables mais géré par shorewall ; depuis j'ai
viré le pkg shorewall, iptables aussi et rebooté au cas où il traine un
truc moisi.
Je fais des tcpdump de ports qui doivent être forwardé sur mon LAN, je
vois bien des demandes entrer puis rien qui traverse.
thx
--
Jacques
Jacques