Estou tentando fazer com que o NAT funcione no meu roteador. Não consigo acessar o host do meu site local na minha LAN (192.168.1.3). Estou usando nftables com a seguinte configuração:
enp1s0 = WAN enp2s0 = LAN
#!/sbin/nft -f
flush ruleset
table ip nat {
chain prerouting {
type nat hook prerouting priority -100; policy accept;
iifname "enp1s0" tcp dport { 80, 443 } dnat to 192.168.1.3
meta nftrace set 1
}
chain postrouting {
type nat hook postrouting priority 100; policy accept;
ip saddr 192.168.1.0/24 ip daddr 192.168.1.3 tcp dport { http, https } counter snat 192.168.1.1
oifname "enp1s0" masquerade
meta nftrace set 1
}
}
Como exatamente posso fazer o hairpin funcionar? Já vi pessoas usarem DNS dividido, mas não tenho certeza de como configurá-lo.
Responder1
Para fazer NAT Hairpinning em nftables você pode adicionar uma regra DNAT que verifica se o endereço de destino dos pacotes é o ip externo da sua rede. Você também precisa mascarar a interface interna (LAN).
flush ruleset
define wan = enp1s0
define lan = enp2s0
define webserver = 192.168.1.3
define extip = 1.2.3.4
table ip nat {
chain prerouting {
type nat hook prerouting priority dstnat; policy accept;
tcp dport { 80, 443 } ip daddr $extip dnat to $webserver
}
chain postrouting {
type nat hook postrouting priority srcnat; policy accept;
oif $wan masquerade
oif $lan masquerade
}
}