Как правильно использовать netfilter в opkg

[OmegaTron]

По какой причине в netfilter.d может не отрабатывать условие [ "$table" != "nat" ] ? Правила для NAT - таблицы при нём тупо не иницируются, будто NAT - таблица не обрабатывается вовсе. С таблицами mangle и filter таких проблем нет.

[OmegaTron]

Собственно, так и оказалось. NAT таблица никак не задействуется в моём случае (хз по каким причинам), что показывает такой скрипт

[ ! -x "$0" ] && exit 0

echo "type $type" >> /opt/Data/netfilter.d.log
echo "table $table" >> /opt/Data/netfilter.d.log
echo '###' >> /opt/Data/netfilter.d.log

и его выхлоп :

type iptables
table filter
###
type iptables
table mangle
###
type ip6tables
table filter
###
type ip6tables
table mangle

пришлось использовать таблицу filter и городить костыль с чекенгом NAT-таблицы :

[ ! "$(iptables -nvL POSTROUTING -t nat --line-numbers|grep -E "MASQUERADE.*192.168.1.88.*dpt:3535")" ] && iptables -t nat -I POSTROUTING -s 192.168.1.119 -p tcp --dport 3535 -j MASQUERADE

 

Изменено 10 марта, 2021 пользователем OmegaTron

[avn]

В 10.03.2021 в 12:00, OmegaTron сказал:

Собственно, так и оказалось. NAT таблица никак не задействуется в моём случае (хз по каким причинам), что показывает такой скрипт

[ ! -x "$0" ] && exit 0

echo "type $type" >> /opt/Data/netfilter.d.log
echo "table $table" >> /opt/Data/netfilter.d.log
echo '###' >> /opt/Data/netfilter.d.log

и его выхлоп :

type iptables
table filter
###
type iptables
table mangle
###
type ip6tables
table filter
###
type ip6tables
table mangle

пришлось использовать таблицу filter и городить костыль с чекенгом NAT-таблицы :

[ ! "$(iptables -nvL POSTROUTING -t nat --line-numbers|grep -E "MASQUERADE.*192.168.1.88.*dpt:3535")" ] && iptables -t nat -I POSTROUTING -s 192.168.1.119 -p tcp --dport 3535 -j MASQUERADE

 

 Проще так в init.d

#!/bin/sh

[ "$1" != "start" ] && exit 0

type=iptables table=raw /opt/etc/ndm/netfilter.d/101-notrack.sh
type=ip6tables table=raw /opt/etc/ndm/netfilter.d/101-notrack6.sh

 

[OmegaTron]

3 часа назад, avn сказал:

Проще так в init.d

NAT-таблица как минимум при реконнекте перезапишется, тут нужен скрипт в wan.d. Ваше предложение будет работать до первой (авто) перезаписи таблицы. Меж тем, старый вариант после перезагрузки тогда снова заработал. Видать в процессе работы где-то что-то отваливается и лезет сбой. Ну да бог с ним. С тем костылём тоже всё вполне работает.

[avn]

9 часов назад, OmegaTron сказал:

NAT-таблица как минимум при реконнекте перезапишется, тут нужен скрипт в wan.d. Ваше предложение будет работать до первой (авто) перезаписи таблицы. Меж тем, старый вариант после перезагрузки тогда снова заработал. Видать в процессе работы где-то что-то отваливается и лезет сбой. Ну да бог с ним. С тем костылём тоже всё вполне работает.

А Вы не посмотрели где у меня скрипты лежат? Все отлично будет. Если у Вас таблица не вызывается, значит она роутеру не нужна и перезаписываться не будет. А если вызовется, то отработает штатный скрипт (смотри опять путь к файлу).

[OmegaTron]

1 час назад, avn сказал:

А Вы не посмотрели где у меня скрипты лежат? Все отлично будет. Если у Вас таблица не вызывается, значит она роутеру не нужна и перезаписываться не будет. А если вызовется, то отработает штатный скрипт (смотри опять путь к файлу).

Да, проглядел. ОК. попробую. Спасибо.

[kroleg]

После обновления  KeeneticOS до версии 4.0.2 перестали выполняться скрипты в /opt/etc/ndm/netfilter.d/
Хотлось бы узнать - в чём может быть причина и можно ли это как-то восстановить?

[zyxmon]

14 минуты назад, kroleg сказал:

Хотлось бы узнать

Хотелось бы, чтобы пользователи не только писали, но и искали решение самостоятельно, читали форум  - 

 

[kroleg]

39 минут назад, zyxmon сказал:

Хотелось бы, чтобы пользователи не только писали, но и искали решение самостоятельно, читали форум  - 

 

Это ответ на вопрос "почему скрипты в netfilter.d не выполняются"?

[OmegaTron]

  

25 минут назад, kroleg сказал:

Это ответ на вопрос "почему скрипты в netfilter.d не выполняются"?

Подозреваю, это был жирный намёк, куда идти. Я не поленился и вбил в поиск "ndmslin" (с настройкой "искать везде") и сразу вышел на указанный выше тред, где разбирается проблема.

з.ы. Совершенно не в теме по причине того что не до роутеров сейчас, но т.к. висела подписка на эту тему, заглянул на огонёк, дабы поискать для вас по форуму 😂 Заняло минуту ...

 

[kroleg]

3 минуты назад, OmegaTron сказал:

где разбирается проблема.

Проблема - чего?

Незапуска скриптов в netfilter.d?

А где там про это? Я, что-то не увидел.

 

[OmegaTron]

11 минуту назад, kroleg сказал:

Проблема - чего?

Незапуска скриптов в netfilter.d?

А где там про это? Я, что-то не увидел.

 

Да вроде не по диагонали читал ... Проверяйте syslog на наличие подобных ошибок и если они там проскакивают, обновляйте iptables. Я оч. сильно сомневаюсь, что проблема в чём-то ином, раз на данный тред сослался zyxmon.

[kroleg]

5 минут назад, OmegaTron сказал:

Да вроде не по диагонали читал ... Проверяйте syslog на наличие подобных ошибок и если они там проскакивают, обновляйте iptables. Я оч. сильно сомневаюсь, что проблема в чём-то ином, раз на данный тред сослался zyxmon.

в сислоге ошибок нет

opkg update && opkg upgrade - сделал сразу же, после обновления

спасибо за ответ.

предполагаю, что проблема в кривой прошивке.

ЗЫ. Да и iptables тут вообще ни при чём - пишу же совсем о другом.

Изменено 6 августа, 2023 пользователем kroleg

[Виталий Шадрин]

В 06.08.2023 в 10:38, kroleg сказал:

После обновления  KeeneticOS до версии 4.0.2 перестали выполняться скрипты в /opt/etc/ndm/netfilter.d/
Хотлось бы узнать - в чём может быть причина и можно ли это как-то восстановить?

Также после обновления до 4.0.2 перестали добавляться правила вида:

~ # iptables -t mangle -A _NDM_IPSEC_PREROUTING -j NDMMARK --set-xndmmark 0x0/0x0
iptables: Protocol wrong type for socket.

Версия iptables

opkg list-installed
...
iptables - 1.4.21-3a
...

Обновление прошивки до 4.0.4 ничего не изменило

Изменено 26 августа, 2023 пользователем Виталий Шадрин

[kroleg]

После обновления  KeeneticOS до версии 4.0.4, скрипты в /opt/etc/ndm/netfilter.d/ снова, выполняются.

Ура!  😁