带有netfilter的伪装规则-持久

Question

我使用netfilter-persistent来管理防火墙。

我希望使用伪装(示例，或另一个)在两个接口之间共享一个连接。当我通过调用iptables运行这些操作时，它可以工作。

但是，如果我试图更新存储在/etc/iptables/rules.v4中的防火墙规则，添加这样一行：

-t nat -A POSTROUTING -o wlan0 -j MASQUERADE

从-t开始的行使netfilter-persistent无法运行，防火墙也没有更新：

Nov 16 11:51:32 helena systemd[1]: netfilter-persistent.service: Main process exited, code=exited, status=1/FAILURE
Nov 16 11:51:32 helena systemd[1]: Failed to start netfilter persistent configuration.

所以我想知道是否可以用netfilter-persistent或者

• 这是已知的限制吗？
• 它为什么不能工作，有什么好理由吗？
• 有黑客可以让它工作吗？

Answer 1

您可能正在为筛选表块中的nat表添加一条适合于iptables-restore的规则，并且语法不适当。

在您知道如何直接编辑/etc/iptables/rules.v4之前(通过研究iptables-save的输出)，您应该这样做：

• 小心点，因为规则会马上生效，
• 使用: iptables -t nat -A POSTROUTING -o wlan0 -j伪装更改当前运行的防火墙规则
• 研究结果:它们是否值得更改配置？
• 如果值得的话，请netfilter-persistent保存规则。它将运行iptables-persistent的S插件，该插件将在hood.netfilter-持久保存下使用iptables-save。

您将注意到，新的配置文件(一个适合iptables-restore使用的文件)现在有一个带规则的nat表块(而没有-t nat)，与filter表块分开。