IDS 이전/이후 트래픽에 대한 nftable 작성

IDS 이전/이후 트래픽에 대한 nftable 작성

iptables에 대한 하위 호환성이 거의 없는 Openwrt 22.03에서 구현되었으므로 nftables를 배워 보십시오.

라우터에서 Suricata를 실행하는 VM으로 트래픽을 전달하는 iptables 규칙이 있습니다.

iptables -i eth0 -t mangle -A PREROUTING --s 0/0 -j TEE --gateway 192.168.1.156
iptables  -i eth0.2 -t mangle -A POSTROUTING -s 192.168.0.0/24 -j TEE --gateway 192.168.1.156

사람들은 nftables 규칙으로 무엇을 추천합니까? 변환 결과를 통해 배우려고 노력 중입니다. 감사합니다!

답변1

유틸리티를 사용하십시오 iptables-translate. iptables 규칙을 nftables로 변환합니다. 귀하의 규칙에 대한 명령은 다음과 같습니다:

iptables-translate -i eth0 -t mangle -A PREROUTING -s 0/0 -j TEE --gateway 192.168.1.156
iptables-translate -t mangle -A POSTROUTING -s 192.168.0.0/24 -j TEE --gateway 192.168.1.156

결과 :

nft add rule ip mangle PREROUTING iifname "eth0" counter dup to 192.168.1.156
nft add rule ip mangle POSTROUTING ip saddr 192.168.0.0/24 counter dup to 192.168.1.156

여기도 보세요https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables

관련 정보