nat rangos de puertos con nftables

[H A]

Buenas tardes estimados,

Quiero preguntar acerca de cómo hacer una regla NAT en nftables. 

Siempre he usado iptables, y estoy usando Debian 11 para sustituir un router y no se cuanto tiempo vaya a estar trabajando.

Me encuentro que finalmente desde Debian 10 se usa nftables dejando a iptables jubilado.

Por lo que he leído es mejor (y según eso más fácil) usar nftables, pero no se como hacer nat de un rango de puertos a una ip privada de la red interna.

He estado buscando en internet pero solo he visto como hacer nat  de un puerto por ejemplo:

nft add rule nat prerouting iifname ens3 tcp dport { 21, 21 } dnat to 192.168.200.250

necesito algo como esto:

nft add rule nat prerouting iifname ens3 udp dport { 51800-51850, 51800-51850} dnat to 192.168.200.250

Tengo varios servicios que requieren rangos de puertos, tanto UDP como TCP.

Les agradeceria si me pudieran comentar algo y si saben de una referencia de preferencia para debian. Por ahora lo que mejor he encontrado es para RedHat.

Saludos a todos. 

--

Hector Alfredo Alvarez C.
www.hectoralvarez.com.mx

[Renich Bon Ćirić]

Hola!

 

Chécate ésto: https://gitlab.com/-/snippets/1937605

 

Es un snippet en donde uso política drop y hago dos tablas. A lo mejor se acerca algo a lo que necesitas.

19.12.2022, 13:39, "H A" <nsia...@gmail.com>:

--
Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de Grupos de Google.
Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CAN-SDgvDXOujkBetd1OpcGLrCCQQ5je9OGwmB9x6P18J5CWR-g%40mail.gmail.com.

[H A]

ok, revisando. Gracias.

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/758111671479700%40mail.yandex.com.

[Ismael Farfán]

No sabía que existía eso, en hora buena : )  pero en el video que estoy viendo mencionan este paquete

https://packages.debian.org/stretch/net/iptables-nftables-compat

Tiene un comando que te podría servir

These translation tools works by reading an input in iptables native syntax and then printing the nftables syntax equivalent

Saludos

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/758111671479700%40mail.yandex.com.

--

Do not let me induce you to satisfy my curiosity, from an expectation, that I shall gratify yours. What I may judge proper to conceal, does not concern myself alone.

[Renich Bon Ćirić]

On Mon, 2022-12-19 at 18:50 -0600, Ismael Farfán wrote:
> No sabía que existía eso, en hora buena : )  pero en el video que estoy
> viendo mencionan este paquete
> https://packages.debian.org/stretch/net/iptables-nftables-compat
> Tiene un comando que te podría servir

> *These translation tools works by reading an input in iptables native
> syntax and then printing the nftables syntax equivalent*

Ah, que buen tip. Me lo quedo. :D

[H A]

Gracias, vamos a ver qué resulta.

Saludos.

--
Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de Grupos de Google.
Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+...@googlegroups.com.

Para ver este debate en la Web, visita https://groups.google.com/d/msgid/linuxcabal/5cdedd5fb2ca7e3bd599a6cf1b4fe95005cf039c.camel%40woralelandia.com.