Red Hat Training

A Red Hat training course is available for RHEL 8

26.6.4.2. Configuración del enmascaramiento mediante nftables

El enmascaramiento permite a un router cambiar dinámicamente la IP de origen de los paquetes enviados a través de una interfaz por la dirección IP de la misma. Esto significa que si la interfaz recibe una nueva IP asignada, nftables utiliza automáticamente la nueva IP al sustituir la IP de origen.

El siguiente procedimiento describe cómo sustituir la IP de origen de los paquetes que salen del host a través de la interfaz ens3 por la IP establecida en ens3.

Procedimiento

  1. Crea una tabla:

    # nft add table nat
  2. Añade las cadenas prerouting y postrouting a la tabla:

    # nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; }
    # nft add chain nat postrouting { type nat hook postrouting priority 100 \; }
    Importante

    Incluso si no se añade una regla a la cadena prerouting, el marco nftables requiere esta cadena para que coincida con las respuestas de los paquetes entrantes.

    Tenga en cuenta que debe pasar la opción -- al comando nft para evitar que el shell interprete el valor de prioridad negativo como una opción del comando nft.

  3. Añada una regla a la cadena postrouting que coincida con los paquetes salientes en la interfaz ens3:

    # nft add rule nat postrouting oifname "ens3" masquerade