nftables: доступ к хосту через другой IP-адрес

На чтение 3 мин Опубликовано 02.10.2024

Вопрос или проблема

В настоящее время я пытаюсь решить следующую проблему, но мои поиски в Google/SO пока не дали подходящего сценария:

С моего Linux-хоста я должен достичь целевого хоста 172.19.28.152. Однако из-за сложностей корпоративной сети я должен использовать другой IP-адрес для этой цели: 10.187.19.132.

Я должен решить проблему на уровне IP, потому что приложение не позволяет изменять целевой адрес (оно всегда будет использовать IP-адрес 172…, и у меня нет возможности изменить это поведение в моем сценарии). Кроме того, приложение не позволяет мне указать DNS-имя вместо этого.

Поэтому я хочу настроить nftables для следующего:

Если пакет покидает мой хост с целью 172.19.28.152, заменить целевой IP на 10.187.19.132. Когда цель отвечает, переписать 10.187.19.132 на оригинальный 172.19.28.152 (NAT). Моя проблема в том, что я не могу разобраться с синтаксисом для такого правила.

Ответ или решение

Для решения вашей задачи с использованием nftables, необходимо создать правила NAT для изменения IP-адресов пакетов на уровне IP, как вы описали. Мы будем использовать таблицы nftables для настройки SNAT (Source NAT) и DNAT (Destination NAT).

Вот полное решение для вашего случая:

Убедитесь, что у вас установлены необходимые пакеты nftables. Если они еще не установлены, вы можете установить их с помощью пакетного менеджера вашей системы. В большинстве дистрибутивов Linux это может выглядеть следующим образом:
```
sudo apt install nftables
```
Создайте nftables таблицу и цепочки для NAT. Откройте терминал и выполните следующие команды:

# Убедитесь, что nftables включен
sudo systemctl start nftables
sudo systemctl enable nftables

# Очистите существующие правила (по желанию)
sudo nft flush ruleset

# Создайте новую таблицу для NAT
sudo nft add table ip nat

# Создайте цепочку для POSTROUTING (исходящие пакеты)
sudo nft add chain ip nat postrouting { type nat hook postrouting priority 100; }

# Создайте цепочку для PREROUTING (входящие пакеты)
sudo nft add chain ip nat prerouting { type nat hook prerouting priority -100; }

Добавьте правила для изменения IP-адресов. Теперь вам нужно добавить правила для DNAT (переписывание IP-адреса назначения) и SNAT (переписывание IP-адреса источника):

# Правило DNAT для изменения IP-адреса назначения
sudo nft add rule ip nat prerouting ip daddr 172.19.28.152 ip saddr 0.0.0.0/0 dnat to 10.187.19.132

# Правило SNAT для изменения IP-адреса источника ответа
sudo nft add rule ip nat postrouting ip saddr 10.187.19.132 ip daddr 0.0.0.0/0 snat to 172.19.28.152

Проверьте ваши правила. После добавления правил вы можете проверить, правильно ли они созданы:

sudo nft list ruleset

Тестирование. После настройки правил вы можете протестировать соединение с помощью команды ping или другого сетевого инструмента. Это поможет убедиться, что пакеты из вашего приложения, использующего IP 172.19.28.152, успешно перенаправляются на 10.187.19.132.
Сохраните правила. Чтобы ваши правила сохранились после перезагрузки системы, вам необходимо сохранить их. В большинстве дистрибутивов это можно сделать с помощью:

sudo nft list ruleset > /etc/nftables.conf

И затем активируйте их при старте, добавив соответствующую команду в систему инициализации (например, systemd).

Это полное решение, которое поможет вам настраивать NAT с использованием nftables для вашей конкретной ситуации. Используйте указанные команды и проверьте функциональность для успешного завершения задачи.