@exclim

Nftables как исправить ошибку ping?

После добавления правил nat и forward перестает работать ping на сервере, выдает ошибку "ping: sendmsg: Операция не позволена". Сервер на CentOS Linux release 8.1.1911 (Core), ядро 4.18.0-147.5.1.el8_1.x86_64, версия nftables v0.9.0.

Сами правила:
table inet filter {
        chain input {
                type filter hook input priority 0; policy drop;
                ct state established,related accept
                iif "lo" accept
                ct state invalid drop
                ip protocol icmp accept
                ip protocol igmp accept
                tcp dport ssh accept comment "SSH"
                udp dport { netbios-ns, netbios-dgm } accept comment "Samba udp ports"
                tcp dport { netbios-ssn, microsoft-ds } accept comment "Samba tcp ports"
                tcp dport { 35621, 35623, 55413-55415 } accept comment "UrBackup tcp ports"
                udp dport { 35621, 35622, 35623 } accept comment "UrBackup udp ports"
                tcp dport 9090 accept comment "Cockpit Web Interface"
                udp dport tftp accept comment "tftp"
                tcp dport { ftp-data, ftp } accept comment "ftp"
        }
}
table ip nat {
        chain post {
                type nat hook postrouting priority 100; policy drop;
                ip saddr 192.168.1.2 oif "enp2s0.103" snat to 10.14.1.58
                ip saddr 192.168.1.4 oif "enp2s0.103" snat to 10.14.1.58
                ip saddr 192.168.1.6 oif "enp2s0.103" snat to 10.14.1.58
                ip saddr 192.168.1.7 oif "enp2s0.103" snat to 10.14.1.58
        }

        chain forward {
                type filter hook forward priority 0; policy drop;
                ct state established,related accept
                ip saddr 192.168.1.2 oif "enp2s0.103" accept
                ip saddr 192.168.1.4 oif "enp2s0.103" accept
                ip saddr 192.168.1.6 oif "enp2s0.103" accept
                ip saddr 192.168.1.7 oif "enp2s0.103" accept
        }
}


При этом nat для указанных пользователей работает, ping на них работает исправно, не работает только на сервере. Укажите пожалуйста, где я ошибся в правилах.
  • Вопрос задан
  • 60 просмотров
Решения вопроса 1
vesper-bot
@vesper-bot
Любитель файрволлов
Смени на ip nat post полиси на accept, не во время натирования дропать пакеты. И проверь ещё полиси на output, должна быть accept, а то "сам себе ограничил отсылку чего-то наружу и жалуешься".
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы