kubernetes:nftables
Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
| kubernetes:nftables [2025/08/05 20:06] – denis | kubernetes:nftables [2025/08/05 20:10] (current) – denis | ||
|---|---|---|---|
| Line 46: | Line 46: | ||
| - | Klar, ich erkläre dir, wie deine nftables-Konfiguration funktioniert und wie damit Traffic von einem VServer zu einem anderen über eine WireGuard-Verbindung geleitet wird. | + | < |
| + | systemctl restart | ||
| + | </ | ||
| - | Was macht diese Konfiguration? | ||
| - | 1. Filter-Table | ||
| - | output: | + | --- |
| - | Erlaubt alle ausgehenden Pakete vom Server selbst (Policy: accept). | + | |
| - | input: | + | ### **Was macht diese Konfiguration? |
| - | Erlaubt alle eingehenden Pakete auf die Interfaces wg0 (WireGuard) und eth0 (vermutlich dein öffentliches Interface). | + | |
| - | forward: | + | #### **1. Filter-Table** |
| - | Erlaubt das Weiterleiten von Paketen: | + | |
| - | Von wg0 nach eth0 (also von WireGuard ins Internet) | + | - **output: |
| - | Von eth0 nach wg0 (also vom Internet ins WireGuard-Netz) | + | |
| - | 2. NAT-Table | + | |
| - | postrouting: | + | - **input:** |
| - | Alle Pakete, die den Server verlassen, werden mit masquerade versehen. Das heißt, ihre Quell-IP wird auf die öffentliche IP des Servers gesetzt | + | |
| - | prerouting: | + | - **forward:** |
| - | Hier findet Destination NAT (DNAT) statt: | + | |
| + | - Von `wg0` nach `eth0` | ||
| + | - Von `eth0` nach `wg0` (also vom Internet ins WireGuard-Netz) | ||
| - | Pakete, die an die öffentliche IP 128.140.47.251 auf Port 80 oder 443 gehen, werden an 192.168.8.10 weitergeleitet. | + | #### **2. NAT-Table** |
| - | Pakete, die an die öffentliche IP 116.202.187.170 auf Port 80 oder 443 gehen, werden an 192.168.8.22 weitergeleitet. | + | |
| - | Wie funktioniert das Routing über WireGuard? | + | - **postrouting: |
| + | Alle Pakete, die den Server verlassen, werden mit `masquerade` versehen. Das heißt, ihre Quell-IP wird auf die öffentliche IP des Servers gesetzt (Source NAT). Das ist wichtig, damit Antworten an den Server zurückkommen. | ||
| + | |||
| + | - **prerouting: | ||
| + | Hier findet Destination NAT (DNAT) statt: | ||
| + | - Pakete, die an die öffentliche IP `128.140.47.251` auf Port 80 oder 443 gehen, werden an `192.168.8.10` weitergeleitet. | ||
| + | | ||
| + | |||
| + | --- | ||
| + | |||
| + | ### **Wie funktioniert das Routing über WireGuard?** | ||
| Angenommen, du hast zwei VServer: | Angenommen, du hast zwei VServer: | ||
| - | VServer1: Öffentliche IP (z.B. 128.140.47.251), | + | - **VServer1:** Öffentliche IP (z.B. `128.140.47.251`), WireGuard-Interface |
| - | VServer2: WireGuard-IP 192.168.8.10 (oder .22) | + | - **VServer2:** WireGuard-IP |
| - | Wenn jetzt jemand von außen (Internet) auf 128.140.47.251: | + | Wenn jetzt jemand von außen (Internet) auf `128.140.47.251: |
| - | Das Paket kommt auf eth0 an. | + | 1. Das Paket kommt auf `eth0` an. |
| - | Die NAT-Regel in prerouting sorgt dafür, dass das Ziel von 128.140.47.251: | + | 2. Die NAT-Regel in `prerouting` sorgt dafür, dass das Ziel von `128.140.47.251: |
| - | Das Paket wird weitergeleitet (forward chain erlaubt das). | + | 3. Das Paket wird weitergeleitet (forward chain erlaubt das). |
| - | Das Routing sorgt dafür, dass Pakete ins Netz 192.168.8.0/ | + | 4. Das Routing sorgt dafür, dass Pakete ins Netz `192.168.8.0/ |
| - | Das Paket wird über das WireGuard-Interface an VServer2 (192.168.8.10) geschickt. | + | 5. Das Paket wird über das WireGuard-Interface an VServer2 (`192.168.8.10`) geschickt. |
| - | Die Antwortpakete von VServer2 gehen zurück über WireGuard zu VServer1, werden dort per masquerade mit der öffentlichen IP versehen und ins Internet zurückgeschickt. | + | Die Antwortpakete von VServer2 gehen zurück über WireGuard zu VServer1, werden dort per `masquerade` mit der öffentlichen IP versehen und ins Internet zurückgeschickt. |
| - | Was musst du noch beachten? | + | --- |
| - | Routing: | + | ### **Was musst du noch beachten?** |
| - | Dein VServer1 muss wissen, dass das Netz 192.168.8.0/ | + | |
| - | WireGuard-Konfiguration: | + | - **Routing:** |
| - | Die Peers müssen korrekt eingerichtet sein, damit die Pakete auch wirklich | + | Dein VServer1 muss wissen, dass das Netz `192.168.8.0/ |
| - | Firewall auf VServer2: | + | - **WireGuard-Konfiguration: |
| - | VServer2 muss Verbindungen von VServer1 (bzw. aus dem WireGuard-Netz) auf den gewünschten Ports erlauben. | + | Die Peers müssen korrekt eingerichtet sein, damit die Pakete auch wirklich über das VPN gehen. |
| - | Zusammengefasst: | + | - **Firewall auf VServer2: |
| + | VServer2 muss Verbindungen von VServer1 (bzw. aus dem WireGuard-Netz) auf den gewünschten Ports erlauben. | ||
| + | |||
| + | --- | ||
| + | |||
| + | ### **Zusammengefasst: | ||
| Deine Konfiguration sorgt dafür, dass Traffic, der auf bestimmte öffentliche IPs und Ports ankommt, per DNAT ins WireGuard-Netz umgeleitet wird. Die Weiterleitung und das NAT sorgen dafür, dass die Pakete korrekt ankommen und die Antworten zurück ins Internet finden. | Deine Konfiguration sorgt dafür, dass Traffic, der auf bestimmte öffentliche IPs und Ports ankommt, per DNAT ins WireGuard-Netz umgeleitet wird. Die Weiterleitung und das NAT sorgen dafür, dass die Pakete korrekt ankommen und die Antworten zurück ins Internet finden. | ||
| Wenn du noch Fragen hast oder ein konkretes Beispiel durchgehen willst (z.B. wie die WireGuard-Konfig aussehen muss), sag Bescheid! | Wenn du noch Fragen hast oder ein konkretes Beispiel durchgehen willst (z.B. wie die WireGuard-Konfig aussehen muss), sag Bescheid! | ||
| + | |||
kubernetes/nftables.1754424371.txt.gz · Last modified: by denis