我正在尝试从 iptables 迁移到 nftables (Debian),但在 Strongswan VPN 规则方面遇到了障碍。有人能帮我把这些规则翻译成 nftables 吗?自动转换器无法做到这一点。
# -t filter -A FORWARD -s 10.10.10.2/24 -m policy --dir in --pol ipsec --proto esp -j ACCEPT -m comment --comment VPN forwarding
# -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
# -t mangle -A FORWARD -s 10.10.10.0/24 -o eth0 -p tcp -m policy --dir in --pol ipsec -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1361:1536 -j TCPMSS --set-mss 1360
答案1
我有一个本地测试虚拟环境:
Client A <--> Strongswan Peer A <--> Strongswan Peer B <--> Client b
在对等点 A 和对等点 B 中:
nft add table nat
nft add chain nat postrouting { type nat hook postrouting priority 0 \; }
nft add rule nat postrouting masquerade
此外,在这两个同行中,我必须:
sysctl -w net.ipv4.ip_forward=1
这对我来说是有效的。