LINUX.ORG.RU
Apache2 в Debian-контейнере на Proxmox сохраняет в access.log IP-адрес собственного eth0 контейнера вместо адресов клиентов
Opensource аналог TeamViewer

Ответ на: комментарий от tyamur

Ну, iptables не всегда видит nft-правила.

А вобще, вы хоть распишите, что да как, какие команды запускаете, что получаете в ответ, что за маршрутизатор такой, что в нём правил в firewall нет.

mky ★★★★★
()
Ответ на: комментарий от mky

Маршрутизатор обычный ноутбук.

192.168.116.39 это телефон1 с интернетом. 10.42.0.127 это телефон2

default via 192.168.116.39 dev enx7e87a8ac34dc proto dhcp src 192.168.116.105 metric 100 
10.42.0.0/24 dev wlp1s0 proto kernel scope link src 10.42.0.1 metric 600 
192.168.116.0/24 dev enx7e87a8ac34dc proto kernel scope link src 192.168.116.105 metric 100

Включил только

sysctl -w net.ipv4.ip_forward=1

Отправляю пакет например со второго телефона src 10.42.0.127 dst 8.8.8.8 на wlp1s0 C ноутбука на второй телефон идут пакеты уже как src 192.168.116.105 dst 8.8.8.8 на enx7e87a8ac34dc

Похоже на SNAT или masquerade но в правилах такого нет.

tyamur ★★
() автор топика
Ответ на: комментарий от mky

Похоже что да. Вот вывод

nft list ruleset
table ip nm-shared-wlp1s0 {
	chain nat_postrouting {
		type nat hook postrouting priority srcnat; policy accept;
		ip saddr 10.42.0.0/24 ip daddr != 10.42.0.0/24 masquerade
	}

	chain filter_forward {
		type filter hook forward priority filter; policy accept;
		ip daddr 10.42.0.0/24 oifname "wlp1s0" ct state { established, related } accept
		ip saddr 10.42.0.0/24 iifname "wlp1s0" accept
		iifname "wlp1s0" oifname "wlp1s0" accept
		iifname "wlp1s0" reject
		oifname "wlp1s0" reject
	}
}
tyamur ★★
() автор топика
Apache2 в Debian-контейнере на Proxmox сохраняет в access.log IP-адрес собственного eth0 контейнера вместо адресов клиентов
Admin
Opensource аналог TeamViewer