Red Hat Training

A Red Hat training course is available for RHEL 8

45.4.2. Configuração de mascaramento usando nftables

O mascaramento permite que um roteador altere dinamicamente o IP de origem dos pacotes enviados através de uma interface para o endereço IP da interface. Isto significa que se a interface recebe um novo IP atribuído, nftables usa automaticamente o novo IP ao substituir o IP de origem.

O procedimento a seguir descreve como substituir o IP de origem dos pacotes que saem do host através da interface ens3 para o conjunto IP em ens3.

Procedimento

  1. Criar uma mesa:

    # nft adicionar tabela nat
  2. Acrescente as cadeias prerouting e postrouting à tabela:

    # nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; }
    # nft add chain nat postrouting { type nat hook postrouting priority 100 \; }
    Importante

    Mesmo que você não acrescente uma regra à cadeia prerouting, a estrutura nftables exige que esta cadeia corresponda às respostas dos pacotes recebidos.

    Observe que você deve passar a opção -- para o comando nft para evitar que o shell interprete o valor de prioridade negativa como uma opção do comando nft.

  3. Adicione uma regra à cadeia postrouting que combine com os pacotes de saída na interface ens3:

    # nft add rule nat postrouting oifname"ens3" mascarada