22.03 nftalbes防火墙怎么设为旁路由模式。

iamyangyi

nftalbes防火墙怎么设为旁路由模式。没有自定义规则那个，同iptables的 iptables -t nat -I POSTROUTING -o br-lan -j MASQUERADE作用一样。谢谢

是要后在的图型规则设置或静态路由方法

Jasion

Jasion

你固件没有 设备向导么，直接选旁路模式，另外 ，只给这个旁路由分配一个LAN网卡，不要搞2个或多外网卡，

iamyangyi

Jasion 发表于 2023-3-28 17:32
你固件没有 设备向导么，直接选旁路模式，另外 ，只给这个旁路由分配一个LAN网卡，不要搞2个或多外网卡， ...

没有 有就不会问了啊

Jasion

iamyangyi 发表于 2023-3-28 17:39
没有 有就不会问了啊

在软件中心装一个。

iamyangyi

Jasion 发表于 2023-3-28 17:32
你固件没有 设备向导么，直接选旁路模式，另外 ，只给这个旁路由分配一个LAN网卡，不要搞2个或多外网卡， ...

你这也不对啊 这是出口的 我要的是后面的图型 设规则

iamyangyi

Jasion 发表于 2023-3-28 17:39
在软件中心装一个。

不是 你想的那样22.03 官方改了nftalbes防火墙

normanlu

旁路由不需要防火墙吧，设置一下静态路由就可以了

ysc3839

不需要设置吧？连入局域网，别的设备网关设置成这个IP就行了

旁路由设备的网关设置成主路由，别的设备的网关设置成旁路由，就可以了，不需要动其他设置

iamyangyi

ysc3839 发表于 2023-3-28 18:30
不需要设置吧？连入局域网，别的设备网关设置成这个IP就行了

旁路由设备的网关设置成主路由，别的设备的网 ...

不行 ，我记得还得加个静态路由表之类的，

iamyangyi

normanlu 发表于 2023-3-28 18:30
旁路由不需要防火墙吧，设置一下静态路由就可以了

我设了 还是上不了 看是不是哪错了。谢谢 帮我看下

iooo

用命令行不行吗，把所有请求重定向到不可描述的端口

normanlu

iamyangyi 发表于 2023-3-28 19:21
我设了 还是上不了 看是不是哪错了。谢谢 帮我看下

如图，我家里主要三个vlan，默认vlan是192.168.10.0，192.168.4.0和192.168.5.0是访客和iot设备vlan，192.168.10.249是三层交换机ip，192.168.10.254是主路由ip。
其它设置看9楼。

iamyangyi

iooo 发表于 2023-3-28 19:28
用命令行不行吗，把所有请求重定向到不可描述的端口

不会啊  求指点

ysc3839

iamyangyi 发表于 2023-3-28 19:21
我设了 还是上不了 看是不是哪错了。谢谢 帮我看下

不需要设路由表，只需要设lan的网关

iamyangyi

ysc3839 发表于 2023-3-28 19:39
不需要设路由表，只需要设lan的网关

没用的， 我一直是旁路上网关是主路的， 分配给别的设备也是旁路网关。就是不能用，我记得要改，爱快也 是加静态，只是OP的静态 我不熟悉

声色茶马

你现在“丢弃无效的数据包”关掉了，有可能就能行。当然你网卡或者虚拟网卡的混杂模式必须打开。然后网卡的桥接模式必须关掉，至少在IPtables时代是这样的。

先试试。如果不行，再研究NFtables和IPtables的映射。

PS：话说为啥我的22.10还用的IPtables？NFtables跟各种过河桥攻城梯的兼容性已经排查过了？

normanlu

iamyangyi 发表于 2023-3-28 19:43
没用的， 我一直是旁路上网关是主路的， 分配给别的设备也是旁路网关。就是不能用，我记得要改，爱快也  ...

如果只有一个子网，应该是不需要额外静态路由设置的。我是因为有好几个vlan，所以需要额外设置。

iamyangyi

声色茶马 发表于 2023-3-28 19:46
你现在“丢弃无效的数据包”关掉了，有可能就能行。当然你网卡或者虚拟网卡的混杂模式必须打开。然后网卡的 ...

一直是关了 关了 不行 下面三个也都是接受的

polly870525

关键字
nft add chain inet nat

sonicboy

网络-》防火墙-》NAT规则-》来自所有区域的通过XXX接口，静态写到源IPXXXXXX

iamyangyi

sonicboy 发表于 2023-3-28 20:02
网络-》防火墙-》NAT规则-》来自所有区域的通过XXX接口，静态写到源IPXXXXXX

我NAT规则也写了的，但和静态没有一起写，是2个都要写吗

normanlu

如果你是想学习设置nftables，可以参考下面我的主路由nftables nat配置，但是，旁路由肯定是不需要nat的，旁路由仅仅只是简单的做ip转发。

1. table ip nat {
   
2.         chain nat_prerouting {
   
3.                 type nat hook prerouting priority -100; policy accept;
   
4. 
   
5.                 # port forwarding: PVE, HomeAssistant, qbittorrent & WireGuard
   
6.                 iifname $DEV_WAN ip protocol { tcp, udp } th dport 53847 dnat to 192.168.10.7
   
7.                 iifname $DEV_WAN dnat to tcp dport map { 8006 : 192.168.10.250, 8123 : 192.168.10.252 }
   
8.                 iifname $DEV_WAN udp dport 13231 dnat to 192.168.10.251
   
9.         }
   
10. 
    
11.         chain nat_postrouting {
    
12.                 type nat hook postrouting priority 100; policy accept;
    
13. 
    
14.                 # masquerade private IP addresses
    
15.                 ip saddr $LAN_SET oifname $DEV_WAN masquerade
    
16. 
    
17.                 # allow access from home LAN to Modem
    
18.                 ip saddr $HOME_LAN oifname $DEV_MODEM snat to $IP_MODEM
    
19.         }
    
20. }

复制代码

weston

就因为nftables不会用，所以还钉在21上……

iamyangyi

normanlu 发表于 2023-3-29 08:48
如果你是想学习设置nftables，可以参考下面我的主路由nftables nat配置，但是，旁路由肯定是不需要nat的， ...

不是 是因为有的主路由防火墙做ARP判断，要将包定在旁路上才允许一起通过。就是iptables的 iptables -t nat -I POSTROUTING -o br-lan -j MASQUERADE

9283684

iamyangyi 发表于 2023-3-29 11:28
不是 是因为有的主路由防火墙做ARP判断，要将包定在旁路上才允许一起通过。就是iptables的 iptables -t n ...

MASQUERADE 就是ip动态伪装，你把图上lan后面ip动态伪装钩上就行。

wangmice

现在nftables已经很成熟了，用起来比iptables方便得多了。

tedaz

normanlu 发表于 2023-3-28 19:32
如图，我家里主要三个vlan，默认vlan是192.168.10.0，192.168.4.0和192.168.5.0是访客和iot设备vlan，192 ...

看到三个vlan，不知道为什么想到了“人菜瘾大”

别生气啊。

我一直使用一个vlan的，也就是没有划分vlan，然后主力路由依然是OpenWrt 21，就因为很多插件都依赖于iptables。便携路由树莓派要从OpenWrt 22才开始正式支持硬件，但我在编译时依然选择了iptables，就是为了各种功能跟21一样。

22默认的新防火墙做正统应用比iptables好用太多了，但是各种插件都没更新啊，需要自己搞得东西太多了，用不了。

AxIaTErN

这样不就行了？源地址要写清楚是你局域网

iamyangyi

AxIaTErN 发表于 2023-3-29 21:34
这样不就行了？源地址要写清楚是你局域网

我刚好源和目标和你写的是反的，我再试试，我源写的0.0.0.0/24 目标写的旁路网关。