Mirror/zapret
1
0
Fork 0
mirror of https://github.com/bol-van/zapret.git synced 2026-01-04 07:38:48 +03:00
Code Issues Packages Projects Releases Wiki Activity

nftables: use after-srcnat postrouting hook. enable ipfrag notrack

Browse Source
This commit is contained in:
bol-van
2022-03-22 13:58:02 +03:00
parent f3508030b1
commit 38883a67a9
3 changed files with 22 additions and 1 deletions
Download Patch File Download Diff File Expand all files Collapse all files

7
docs/readme.txt
View File

@@ -507,6 +507,13 @@ options ip6table_raw raw_before_defrag=1
Либо можно раз и навсегда избавиться от этой проблемы, используя nftables. Там можно создать netfilter hook
с любым приоритетом. Используйте приоритет -401 и ниже.
При использовании iptables и NAT, похоже, что нет способа прицепить обработчик очереди после NAT.
MASQUERADE является финальным таргетом, после него NFQUEUE не срабатывает.
Пакет попадает в nfqws с source адресом внутренней сети, затем фрагментируется и уже не обрабатывается NAT.
Так и уходит во внешюю сеть с src ip 192.168.x.x. Следовательно, метод не срабатывает.
Видимо единственный рабочий метод - отказаться от iptables и использовать nftables.
Хук должен быть с приоритетом 101 или выше.
tpws
-----