More than 1 year has passed since last update.

トライしたかったnftablesの基本（その２）

Posted at 2023-10-06

nftablesでNATを実現

「トライしたかったnftablesの基本（その１）」の続編。今回はNATの超基本であり、内容的には、「今さらながらiptables基本（その２）」と同じである。

参考サイト

ネットワークトポロジー

下記環境にて実現。

左側がNAT内側、右側がNAT外側である。

設定

NAT

$ sudo nft create table ip nat_filter
$ sudo nft create chain ip nat_filter dst_nat {type nat hook prerouting priority dstnat \;}
$ sudo nft create chain ip nat_filter src_nat {type nat hook postrouting priority srcnat \;}
$ sudo nft add rule ip nat_filter src_nat oif enp0s8 masquerade

”nat_filter”というテーブル作成
”nat_filter”テーブル内に次のNATチェーンを作成
- ”dst_nat”というPreRoutingチェーン
- ”src_nat”というPostRoutingチェーン
”src_nat”チェーン内に、NAT（masquerade）外側I/F”enp0s8”としたルールを作成

フィルター

上記NAT設定のみの場合、NAT外側からNAT内側へのアクセスができてしまうので、それを防ぐ設定が必要となる。

$ sudo nft create chain ip nat_filter filter_1 {type filter hook forward priority 0 \; policy drop \;}
$ sudo nft add rule ip nat_filter filter_1 iif enp0s3 oif enp0s8 accept
$ sudo nft add rule ip nat_filter filter_1 ct state related,established accept

”nat_filter”テーブル内に、”filter_1”というフィルターチェーン（デフォルトDrop（破棄））を作成
”filter_1”内に次のルールを作成
- NAT内側（enp0s3）からNAT外側（enp0s8）へはAccept（許可）
- セッションを保ったものなど（”related”,”established”）はAccept（許可）（NAT外側からNAT内側）

最終的な設定

$ sudo nft -a list ruleset
table ip nat_filter { # handle 1
        chain dst_nat { # handle 1
                type nat hook prerouting priority dstnat; policy accept;
        }

        chain src_nat { # handle 2
                type nat hook postrouting priority srcnat; policy accept;
                oif "enp0s8" masquerade # handle 5
        }

        chain filter_1 { # handle 6
                type filter hook forward priority filter; policy drop;
                iif "enp0s3" oif "enp0s8" accept # handle 7
                ct state established,related accept # handle 10
        }
}