Nftables как исправить ошибку ping?

Question

[exclim]

После добавления правил nat и forward перестает работать ping на сервере, выдает ошибку "ping: sendmsg: Операция не позволена". Сервер на CentOS Linux release 8.1.1911 (Core), ядро 4.18.0-147.5.1.el8_1.x86_64, версия nftables v0.9.0.

Сами правила:

table inet filter {
        chain input {
                type filter hook input priority 0; policy drop;
                ct state established,related accept
                iif "lo" accept
                ct state invalid drop
                ip protocol icmp accept
                ip protocol igmp accept
                tcp dport ssh accept comment "SSH"
                udp dport { netbios-ns, netbios-dgm } accept comment "Samba udp ports"
                tcp dport { netbios-ssn, microsoft-ds } accept comment "Samba tcp ports"
                tcp dport { 35621, 35623, 55413-55415 } accept comment "UrBackup tcp ports"
                udp dport { 35621, 35622, 35623 } accept comment "UrBackup udp ports"
                tcp dport 9090 accept comment "Cockpit Web Interface"
                udp dport tftp accept comment "tftp"
                tcp dport { ftp-data, ftp } accept comment "ftp"
        }
}
table ip nat {
        chain post {
                type nat hook postrouting priority 100; policy drop;
                ip saddr 192.168.1.2 oif "enp2s0.103" snat to 10.14.1.58
                ip saddr 192.168.1.4 oif "enp2s0.103" snat to 10.14.1.58
                ip saddr 192.168.1.6 oif "enp2s0.103" snat to 10.14.1.58
                ip saddr 192.168.1.7 oif "enp2s0.103" snat to 10.14.1.58
        }

        chain forward {
                type filter hook forward priority 0; policy drop;
                ct state established,related accept
                ip saddr 192.168.1.2 oif "enp2s0.103" accept
                ip saddr 192.168.1.4 oif "enp2s0.103" accept
                ip saddr 192.168.1.6 oif "enp2s0.103" accept
                ip saddr 192.168.1.7 oif "enp2s0.103" accept
        }
}

При этом nat для указанных пользователей работает, ping на них работает исправно, не работает только на сервере. Укажите пожалуйста, где я ошибся в правилах.

Comments

[Sand]

Покажите плз:
nft list chain filter

[exclim]

Sand, такой цепочки нету:

Error: syntax error, unexpected newline, expecting string
list chain filter

[Sand]

exclim,
nft list chain filter OUTPUT
ЗЫ: а лучше
nft list table filter

[exclim]

Sand,

Error: Could not process rule: No such file or directory
list chain filter OUTPUT

Error: syntax error, unexpected string, expecting end of file or newline or semicolon
list tables filter

[Sand]

exclim, хм, а что у Вас тут:
nft --version

[Sand]

exclim,

Error: syntax error, unexpected string, expecting end of file or newline or semicolon
list tables filter

table, не tables

[exclim]

Sand,

Error: Could not process rule: No such file or directory
list table filter

nftables v0.9.0

[Sand]

exclim, ok, смотрите, за локальный трафик по идее отвечает цепочка output таблицы filter, можно посмотреть список всех таблиц "nft list tables", найти там filter (может быть называется ip filter), и посмотреть эту таблицу "nft list table ip filter" (если, конечно, таблица называется ip filter). Скорее всего в конфигурационные файлы необходимой таблицы, в цепочку output, надо просто добавить интерфейс и accept на него установить.

[Valentin Barbolin]

exclim, Попробуй добавить.

table inet filter {
        chain output {
                policy accept;
           }
}

[exclim]

Sand, Andrey Barbolin,

table inet filter {
        chain input {
                type filter hook input priority 0; policy drop;
                ct state established,related accept
                iif "lo" accept
                ct state invalid drop
                ip protocol icmp accept
                ip protocol igmp accept
                tcp dport ssh accept comment "SSH"
                udp dport { netbios-ns, netbios-dgm } accept comment "Samba udp ports"
                tcp dport { netbios-ssn, microsoft-ds } accept comment "Samba tcp ports"
                tcp dport { 35621, 35623, 55413-55415 } accept comment "UrBackup tcp ports"
                udp dport { 35621, 35622, 35623 } accept comment "UrBackup udp ports"
                tcp dport 9090 accept comment "Cockpit Web Interface"
                udp dport tftp accept comment "tftp"
                tcp dport { ftp-data, ftp } accept comment "ftp"
        }

        chain output {
                type filter hook output priority 0; policy accept;
        }
}
table ip nat {
        chain post {
                type nat hook postrouting priority 100; policy drop;
                ip saddr 192.168.1.2 oif "enp2s0.103" snat to 10.14.1.58
                ip saddr 192.168.1.4 oif "enp2s0.103" snat to 10.14.1.58
                ip saddr 192.168.1.6 oif "enp2s0.103" snat to 10.14.1.58
                ip saddr 192.168.1.7 oif "enp2s0.103" snat to 10.14.1.58
        }

        chain forward {
                type filter hook forward priority 0; policy drop;
                ct state established,related accept
                ip saddr 192.168.1.2 oif "enp2s0.103" accept
                ip saddr 192.168.1.4 oif "enp2s0.103" accept
                ip saddr 192.168.1.6 oif "enp2s0.103" accept
                ip saddr 192.168.1.7 oif "enp2s0.103" accept
        }
}

Добавил цепочку output с policy accept, но ping выдает все туже ошибку

Answer 1

[Максим Гришин]

Смени на ip nat post полиси на accept, не во время натирования дропать пакеты. И проверь ещё полиси на output, должна быть accept, а то "сам себе ограничил отсылку чего-то наружу и жалуешься".

Comments

[exclim]

Действительно, нужно было в ip nat post выставить policy accept, после этого пинг пошел. Но я не понял почему так происходит, nat postrouting с policy drop настраивал на нескольких серверах, - правда то было на iptables, - и нигде подобной проблемы не наблюдал. NAT ведь фильтрует трафик проходящий через сервер, а не исходящий от сервера, разве нет?
Окончательный вид правил:

table inet filter {
        chain input {
                type filter hook input priority 0; policy drop;
                ct state established,related accept
                iif "lo" accept
                ct state invalid drop
                ip protocol icmp accept
                ip protocol igmp accept
                tcp dport ssh accept comment "SSH"
                udp dport { netbios-ns, netbios-dgm } accept comment "Samba udp ports"
                tcp dport { netbios-ssn, microsoft-ds } accept comment "Samba tcp ports"
                tcp dport { 35621, 35623, 55413-55415 } accept comment "UrBackup tcp ports"
                udp dport { 35621, 35622, 35623 } accept comment "UrBackup udp ports"
                tcp dport 9090 accept comment "Cockpit Web Interface"
                udp dport tftp accept comment "tftp"
                tcp dport { ftp-data, ftp } accept comment "ftp"
        }
}
table ip nat {
        chain post {
                type nat hook postrouting priority 100; policy accept;
                ip saddr 192.168.1.2 oif "enp2s0.103" snat to 10.14.1.58
                ip saddr 192.168.1.4 oif "enp2s0.103" snat to 10.14.1.58
                ip saddr 192.168.1.6 oif "enp2s0.103" snat to 10.14.1.58
                ip saddr 192.168.1.7 oif "enp2s0.103" snat to 10.14.1.58
        }

        chain forward {
                type filter hook forward priority 0; policy drop;
                ct state established,related accept
                ip saddr 192.168.1.2 oif "enp2s0.103" accept
                ip saddr 192.168.1.4 oif "enp2s0.103" accept
                ip saddr 192.168.1.6 oif "enp2s0.103" accept
                ip saddr 192.168.1.7 oif "enp2s0.103" accept
        }
}

[Максим Гришин]

exclim, нет, nat postrouting срабатывает на любые пакеты, у которых данный сервер пытается менять src/dest ip. Вероятно, у вас на интерфейсе, откуда доступен интернет, несколько адресов и по умолчанию ICMP-пакет отправляется с того адреса, который натить надо.

[exclim]

Максим Гришин, да, у меня на интерфейсе 3 vlan настроено, вероятно это и сказалось. Спасибо за ответ!