Verständnisfrage // Problem nftables + POSTROUTING

peng · 14. Januar 2018

Guten Abend zusammen,

ich habe Debian 9 im Einsatz mit nftables und einem lxc container der über NAT und freigegebene Ports von Außen erreichbar ist.

Vorweg: Alles funktioniert einwandfrei.

Aber: Meine POSTROUTING chain wird anscheinend nie (!) aufgerufen.

Mein ruleset:

Code

user@lxTest:/$ sudo nft list ruleset
table ip nat {
        chain prerouting {
                type nat hook prerouting priority 0; policy accept;
                # ...
        }

        chain postrouting {
                type nat hook postrouting priority 100; policy drop;
                oifname { "ens33", "lxbr3"} masquerade
                counter packets 0 bytes 0
                log
        }
}
table inet firewall4 {
        chain input {
                type filter hook input priority 0; policy drop;
                # ...
        }

        chain output {
                type filter hook output priority 0; policy accept;
        }

        chain forward {
                # ...
        }
}

Alles anzeigen

Im Netz habe ich die folgende Grafik gefunden (Quelle: https://www.karlrupp.net/en/computer/nat_tutorial)

nat-chains.gifggg

"Just before our forwarded packet leaves the machine it passes the POSTROUTING chain and then leaves through the network interface. For locally generated packets there is a small difference: Instead of passing through the PREROUTING chain it passes the OUTPUT chain and then moves on to the POSTROUTING chain."

Wenn ich es doch nun richtig verstehe heißt es doch, egal ob ich das Packet weiterleite oder "selber nutze", es geht in jedem Fall in die POSTROUTING chain.

Kann mir jemand von Euch sagen was ich falsch mache? Denn egal wie lange ich meine Maschine laufen lasse, über die Postrouting chain werden keine Pakete gezählt.

Ebenfalls erscheint nichts im syslog (log-Befehl in der postrouting-chain).

Getestet habe ich es mit einem Ping auf 8.8.8.8 sowohl vom Host aus, als auch aus meinem lxc container.

Besten Dank.

perryflynn · 14. Januar 2018

Zu nftables kann ich leider nichts sagen. Aber ich habe hier für LXC kurzerhand Proxmox installiert und auch ein internes Netz gebaut, welches via iptables NAT macht.

Code

auto vmbr0
iface vmbr0 inet manual

auto vmbr0.10
iface vmbr0.10 inet static
        vlan_raw_device vmbr0

auto vmbr10
iface vmbr10 inet static
        address  10.18.18.1
        netmask  255.255.255.0
        bridge_ports vmbr0.10
        bridge_stp off
        bridge_fd 1
        bridge_hello 2
        bridge_maxage 12
        bridge_maxwait 0
        post-up   iptables -t nat -A POSTROUTING -s '10.18.18.0/24' -o vmbr1 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.18.18.0/24' -o vmbr1 -j MASQUERADE

Alles anzeigen

vmbr1 ist in dem Fall die Bridge, welche die eigentliche öffentliche IPv4 zugewiesen hat.

Bei mir steht also als "outgoing Interface" nur das Interface drin, was die öffentliche IP hat. Bei Dir steht anscheinend zusätzlich die lxc Bridge mit drin.

peng · 14. Januar 2018

Hallo,

danke für Deine Antwort.

Bei mir hat die Bridge eine eigene IP.

Ebenfalls mein interface vom Host (ens33).

Hier ein Auszug von ip addr show (Achtung, es handelt sich um eine lokale Test-vm, daher habe ich keine "public ip" auf ens33)

Code

user@lxTest:~/Downloads$ ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:a5:56:56 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.240/24 brd 192.168.0.255 scope global ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fea5:5656/64 scope link
       valid_lft forever preferred_lft forever
3: lxbr3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether fe:6e:44:0c:e4:40 brd ff:ff:ff:ff:ff:ff
    inet 10.47.41.1/24 scope global lxbr3
       valid_lft forever preferred_lft forever
    inet6 fe80::3c03:d5ff:fe9a:167b/64 scope link
       valid_lft forever preferred_lft forever

Alles anzeigen

Nun habe ich aber folgende Beobachtung gemacht:

Mit oifname "lxbr3" masquerade

Code

table ip nat {
        chain postrouting {
                type nat hook postrouting priority 100; policy drop;
                oifname "lxbr3" masquerade
                counter packets 0 bytes 0
                log
        }
}

kriege ich keinen ping mehr vom Host-System raus.

Das bedeutet, dass die POSTROUTING-Chain aufgerufen wird. Ein Blick in die syslog bestätigt dies nun: Es werden Log-Einträge erstellt...

Eventuell ist es also nur ein Bug in nftables... hmm...

perryflynn · 14. Januar 2018

Zitat von peng

kriege ich keinen ping mehr vom Host-System raus.

Logisch, dann NATet er ja auch alles in Richtung der LXC Container. In die Rule muss als einziges Interface ens33 rein.

peng · 19. Januar 2018

Hallo nochmal,

wollte noch einmal eine kurze Rückmeldung geben.

Ich bin Deinem Tipp gefolgt und habe ens3 die Rule reingenommen.

Dann kriege ich aber kein SSH mehr in meinen Container.

Code

[...] kriege ich keinen ping mehr vom Host-System raus.

Das konnte ich durch ändern der Priorität der prerouting-Chain ändern (auf -101).

Mit

Code

oifname { "ens33", "lxbr3"} masquerade

und der Priorität auf -101 klappt alles wunderbar.

Nun habe ich aber noch etwas was ich nicht verstehe:

Mein LXC-Container c1 hat auf Port 1234 einen SSH-Server laufen.

Auf meinem Host-System möchte ich Port 123 auf 1234 umleiten.

Im Container habe ich nftables installiert und wollte den Port für meine private IP öffnen (in dem Beispiel: 123.123.123.123).

Alles klappt, aber:

Code

# funktioniert
# tcp dport $ssh_port accept

# funktioniert nicht
# ip saddr $ip_mgmt tcp dport $ssh_port log prefix "[FWX C1] SSH: " accept

Ein Login per SSH zeigt mir dann:

Code

Last login: Fri Jan 19 16:08:00 2018 from 10.42.0.1

10.42.0.1 ist die IP der Bridge und das erklärt, warum die Beschränkung mit saddr nicht funktioniert.

Mein Frage ist daher: Wie kann ich dieses Problem lösen? Ich müsste an den Container als saddr die IP die ankommt übergeben und nicht die der Bridge.

Zur Sicherheit noch meine vollständigen Rules.

Host

Code

#!/usr/sbin/nft -f

flush ruleset

# interfaces
define ext_if1 = ens3

# management
define ip_mgmt = 123.123.123.123 # für das Beispiel hier ersetzt

# lx
define lx_if = lxdbr0
define lx_if_ip = 10.42.0.1
define lx_vm_c1 = 10.42.0.10

##########################################

table ip firewall4 {
    ##
    # basic checks
    ##
    chain base_checks {
        # allow established/related connections
        ct state {established, related} accept

        # early drop of invalid connections
        ct state invalid drop
    }
    ##
    # lx-stuff
    ##
    chain lx_filter_input {
        # dns
        iifname $lx_if ip saddr $lx_vm_c1 ip daddr $lx_if_ip udp dport 53 accept

        # dhcp
        iifname $lx_if ip saddr 0.0.0.0 ip daddr 255.255.255.255 udp sport 68 udp dport 67 accept
    }
    chain lx_filter_forward {
        # forward only packets from vm_x
        ip saddr $lx_vm_c1 iifname $lx_if accept
        ip daddr $lx_vm_c1 ct status dnat accept
    }
    chain lx_nat_prerouting {
        # tcp dport 81 dnat $lx_vm_c1:80

        # ssh c1 --> Port 123 auf 1234
        ip saddr {$ip_mgmt} tcp dport 123 dnat $lx_vm_c1:1234
    }
    ##
    # Filter
    ##
    chain filter_input {
        type filter hook input priority 0; policy drop;

        jump base_checks

        # allow from loopback interface
        iifname lo accept

        jump lx_filter_input
    }
    chain filter_output {
        type filter hook output priority 0; policy accept;

        jump base_checks
    }
    chain filter_forward {
        type filter hook forward priority 0; policy drop;

        jump base_checks
        jump lx_filter_forward
    }
    ##
    # nat
    ##
    chain prerouting {
        type nat hook prerouting priority -101; policy accept;

        jump lx_nat_prerouting
    }
    chain postrouting {
        type nat hook postrouting priority 0; policy drop;

        oifname {$ext_if1,$lx_if} masquerade
    }

}

Alles anzeigen

Container

Code

#!/usr/sbin/nft -f

flush ruleset

# interfaces
define ext_if1 = eth0

# management
define ssh_port = 1234
define ip_mgmt = 123.123.123.123 # für das Beispiel hier ersetzt

##########################################

table ip firewall4 {
    ##
    # basic checks
    ##
    chain base_checks {
        # allow established/related connections
        ct state {established, related} accept

        # early drop of invalid connections
        ct state invalid drop
    }

    ##
    # management
    ##
    chain management_input {
        # ssh
        
        # funktioniert nicht, da saddr die IP der Bridge ist
        #ip saddr $ip_mgmt tcp dport $ssh_port log prefix "[C1] SSH: " accept
        
        # funktioniert
        tcp dport $ssh_port accept
    }

    ##
    # Filter
    ##
    chain filter_input {
        type filter hook input priority 0; policy drop;

        jump base_checks

        # allow from loopback interface
        iifname lo accept

        jump management_input

    }
    chain filter_output {
        type filter hook output priority 0; policy accept;

        jump base_checks
    }
    chain filter_forward {
        type filter hook forward priority 0; policy drop;

        jump base_checks
    }
}

Alles anzeigen

Der Beitrag ist nun etwas länger geworden, ich hoffe aber das es hilft den Fehler zu finden

Besten Dank Dir / Euch.

Tags