主页 / user-453584

Synthetic Ascension's questions

Martin Hope
Synthetic Ascension
Asked: 2023-09-30 18:51:51 +0800 CST
  • 6

我正在根据这个问题的答案进行工作,man nft以便dnat在我的配置中创建一些规则nftables

相关配置摘录为:

define src_ip       = 192.168.1.128/26
define dst_ip       = 192.168.1.1
define docker_dns   = 172.20.10.5

table inet nat {
    map dns_nat {
        type ipv4_addr . ipv4_addr . ip_proto . inet_service : ipv4_addr . inet_service
        flags interval
        elements = {
            $src_ip . $dst_ip . udp . 53 : $docker_dns . 5353,
        }
    }
    chain prerouting {
        type nat hook prerouting priority -100; policy accept;
        
        dnat to ip saddr . ip daddr . ip protocol . th dport map @dns_nat;
    }
}

当我应用此规则时nft -f,我没有看到任何命令输出,因此我认为它已成功。但是,当我使用规则检查规则集时,nft list ruleset这些规则不存在。当该dnat to ...行被注释掉时,规则似乎被应用,但是当该行存在时,规则不被应用。

prerouting我试图替换的链中的规则集合是:

ip saddr $src_ip ip daddr $dst_ip udp dport 53 dnat to $docker_dns:5353;
...

版本信息:

# nft -v
nftables v1.0.6 (Lester Gooch #5)
# uname -r
6.1.0-11-amd64

为什么这可能不起作用?谢谢

nat
Martin Hope
Synthetic Ascension
Asked: 2022-09-17 05:29:41 +0800 CST
  • 2

我有以下内容nftables.conf

table inet nat {

        set blocked {
            type ipv4_addr
        }
        
        chain postrouting {
            type nat hook postrouting priority 100; policy accept;

            ip daddr @blocked counter drop;
            
            oifname "ppp0" masquerade;
            iifname "br-3e4d90a574de" masquerade;
        }
    }

该集合blocked是一个可以动态更新的命名集合。正是在这个集合中,我希望有一个要阻止的 IP 集合,每n分钟更新一次。为了保持原子性,我没有使用以下 ( updateblock.sh) 来更新列表:

#!/bin/bash

sudo nft flush set inet nat blocked
sudo nft add element inet nat blocked {$nodes}

而是blockediplist.ruleset

#!/usr/sbin/nft -f

flush set inet nat blocked
add element inet nat blocked { <example_ip> }

我使用以下命令顺序:

nft -f /etc/nftables.conf
nft -f blockediplist.ruleset

但是,更改blockediplist.ruleset不会立即应用。我知道规则集现在包含新 IP,因为 IP 存在于nft list ruleset和中nft list set inet nat blocked。即使只是这样,nft add element inet nat blocked { <IP> }IP 也不会立即被阻止。

另一种方法是定义一个新集合并重新加载nftables.conf整个集合,尽管我认为这将是一种糟糕且低效的做事方式。

有没有办法强制blockediplist.ruleset立即应用更改?

更新:我刚刚发现,当我阻止一个我没有 ping 过的 IP 时,它会立即被阻止。但是,在中间 ping 将 IP 添加到阻止列表时,需要一段时间才能被阻止。当我尝试使用netdev ingressIP 设置时,会立即被阻止。也许这种调查途径可能会揭示一些东西。

firewall nftables