Differences

This shows you the differences between two versions of the page.

--- nftables [2020/02/14 09:33] – [The Pravidla] ww
+++ nftables [2026/06/20 15:35] (current) – external edit 127.0.0.1
@@ Line 93: / Line 93: @@
     jump global
+    # loopback
+    oif lo accept
     tcp dport $port_dns accept
@@ Line 115: / Line 118: @@
 }
+</code>
+----
+===== The Masquerade =====
+<code>
+table ip nat {
+  chain postrouting {
+    type nat hook postrouting priority 100;
+    oif $iface_wan masquerade;
+  }
+}
 </code>
@@ Line 120: / Line 136: @@
 ===== The NAT =====
+<code>
+table inet filter {
+  chain forward {
+    type filter hook forward priority 0;
+    policy drop;
+    jump global
+    # [...]
+    ip daddr 192.168.1.10 tcp dport 3389 accept
+    counter drop
+  }
+}
+</code>
 <code>
@@ Line 128: / Line 162: @@
     iif "tun0" tcp dport 12345 dnat to 192.168.1.10:3389
+  }
+}
+</code>
+===== Docker smrdí =====
+==== Komunikace host <-> container ====
+  - Smazat ''/sbin/iptables'', jinak bude docker hrabat do firewallu. [info z 28. března 2020]
+  - Udělat si override pro síť dockeru, aby se daly ručně specifikovat pravidla na vyžádané IP adresy:
+  ''nano /etc/docker/daemon.json''
+<code json>{
+  "iptables": false, <-- "nehrabej do firewallu" / "tak určitěěě"
+  "ipv6": true,
+  "bip": "172.19.0.1/24", <-- "IP adresa hosta, na iface docker0"
+  "fixed-cidr": "172.19.0.0/24", <-- "IPv4 rozsah pro containery"
+  "fixed-cidr-v6": "2a02:8304:29:d00d:d00d::/80" <-- "IPv6 rozsah pro containery - ukrojeno z alokovaného /64"
+}</code>
+  - Přidat do nftables:
+<code>
+table inet filter {
+  chain output {
+    # Docker
+    oifname "docker*" accept
   }
 }
 </code>