iptables: Включить трекинг для DNAT правила

vikaig	# 4 года, 1 месяц назад (отредактировано 4 года, 1 месяц назад)
Темы: 3 Сообщения: 11 Участник с: 11 мая 2019	Есть 2 интерфейса, ens3 - и wg0(10.0.0.1/24, fd00::1/48) - для wireguard туннеля А так же такие правила iptables: raw --ipv4 -A PREROUTING -i ens3 -p tcp -m multiport --dport 80,443 -j NOTRACK --ipv6 -A PREROUTING -i ens3 -p tcp --dport 443 -j NOTRACK -A OUTPUT -o wg0 -j RETURN -A OUTPUT -j NOTRACK COMMIT filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :TCP - [0:0] :UDP - [0:0] -A INPUT -p tcp ! --syn -j ACCEPT -A INPUT -p tcp --syn -j TCP -A INPUT -p udp -j UDP -A INPUT -i lo -j ACCEPT --ipv4 -A INPUT -p icmp -j ACCEPT --ipv6 -A INPUT -p icmpv6 -j ACCEPT #-A INPUT -p tcp -j LOG --log-prefix "TCP port unreachable:" -A INPUT -p tcp -j REJECT --reject-with tcp-reset #-A INPUT -p udp -j LOG --log-prefix "UDP port unreachable:" --ipv4 -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable --ipv6 -A INPUT -p udp -j REJECT --reject-with icmp6-port-unreachable #-A INPUT -j LOG --log-prefix "No proto port unreachable:" --ipv4 -A INPUT -j REJECT --reject-with icmp-proto-unreachable --ipv6 -A INPUT -j REJECT --reject-with icmp6-port-unreachable # SSH --ipv4 -A TCP -p tcp --dport 10110 -m set --match-set ua src -j ACCEPT --ipv4 -i wg0 -A TCP -p tcp --dport 10110 -j ACCEPT --ipv6 -A TCP -p tcp --dport 10110 -j ACCEPT # Tor ORPort -A TCP -p tcp --dport 443 -j ACCEPT # Tor DirPort --ipv4 -A TCP -p tcp --dport 80 -j ACCEPT # WireGuard server -A UDP -p udp --dport 51820 -j ACCEPT # -A FORWARD -j LOG --log-prefix "Forward:" # -A FORWARD -j DROP COMMIT *nat --ipv4 -A POSTROUTING -s 10.0.0.0/24 -o ens3 -j MASQUERADE --ipv6 -A POSTROUTING -s fd00::/48 -o ens3 -j MASQUERADE COMMIT Хочу добавить в NAT таблицу такое правило `--ipv4 -A PREROUTING -d 10.0.0.1 -p udp --dport 53 -j DNAT --to-destination 127.0.0.53` Но если его просто добавить, то оно не будет работать, трекинг отключен, чтоб работало нужно в OUTPUT цепочке RAW таблицы добавить под него исключение(RETURN) перед отключением трекинга, но вот я чет не пойму как это сделать, пробовал "-A OUTPUT -o lo -j RETURN", не работает, может кто подскажет как правильно составить исключение под этот DNAT?

# 4 года, 1 месяц назад (отредактировано 4 года, 1 месяц назад)

Сообщения: 11

Участник с: 11 мая 2019

Есть 2 интерфейса, ens3 - и wg0(10.0.0.1/24, fd00::1/48) - для wireguard туннеля
А так же такие правила iptables:

*raw
--ipv4 -A PREROUTING -i ens3 -p tcp -m multiport --dport 80,443 -j NOTRACK
--ipv6 -A PREROUTING -i ens3 -p tcp --dport 443 -j NOTRACK
-A OUTPUT -o wg0 -j RETURN
-A OUTPUT -j NOTRACK
COMMIT

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:TCP - [0:0]
:UDP - [0:0]

-A INPUT -p tcp ! --syn -j ACCEPT
-A INPUT -p tcp --syn -j TCP
-A INPUT -p udp -j UDP

-A INPUT -i lo -j ACCEPT

--ipv4 -A INPUT -p icmp -j ACCEPT
--ipv6 -A INPUT -p icmpv6 -j ACCEPT

#-A INPUT -p tcp -j LOG --log-prefix "TCP port unreachable:"
-A INPUT -p tcp -j REJECT --reject-with tcp-reset

#-A INPUT -p udp -j LOG --log-prefix "UDP port unreachable:"
--ipv4 -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
--ipv6 -A INPUT -p udp -j REJECT --reject-with icmp6-port-unreachable

#-A INPUT -j LOG --log-prefix "No proto port unreachable:"
--ipv4 -A INPUT -j REJECT --reject-with icmp-proto-unreachable
--ipv6 -A INPUT -j REJECT --reject-with icmp6-port-unreachable

# SSH
--ipv4 -A TCP -p tcp --dport 10110 -m set --match-set ua src -j ACCEPT
--ipv4 -i wg0 -A TCP -p tcp --dport 10110 -j ACCEPT
--ipv6 -A TCP -p tcp --dport 10110 -j ACCEPT
# Tor ORPort
-A TCP -p tcp --dport 443 -j ACCEPT
# Tor DirPort
--ipv4 -A TCP -p tcp --dport 80 -j ACCEPT
# WireGuard server
-A UDP -p udp --dport 51820 -j ACCEPT

# -A FORWARD -j LOG --log-prefix "Forward:"
# -A FORWARD -j DROP
COMMIT

*nat
--ipv4 -A POSTROUTING -s 10.0.0.0/24 -o ens3 -j MASQUERADE
--ipv6 -A POSTROUTING -s fd00::/48 -o ens3 -j MASQUERADE
COMMIT

Хочу добавить в NAT таблицу такое правило

--ipv4 -A PREROUTING -d 10.0.0.1 -p udp --dport 53 -j DNAT --to-destination 127.0.0.53

Но если его просто добавить, то оно не будет работать, трекинг отключен, чтоб работало нужно в OUTPUT цепочке RAW таблицы добавить под него исключение(RETURN) перед отключением трекинга, но вот я чет не пойму как это сделать, пробовал "-A OUTPUT -o lo -j RETURN", не работает, может кто подскажет как правильно составить исключение под этот DNAT?