[BUG] Проблема с DNAT трафиком от хостов из списков подсетей #291
Description
📝 Описание проблемы
Входящие WAN -> LAN соединения от внешних хостов из выбранных в Podkop списков подсетей, "ломаются" правилами nft, созданными Podkop
Workaround: не использовать в Podkop подсети, с которых нужен доступ к серверам локальной сети либо использовать промежуточные сервера
Системное решение: добавить правило
ct status dnat return
в начало цепочки mangle таблицы PodkopTable
Шаги для воспроизведения
- требуется "белый" IP на WAN и доменная зона на Cloudflare
- размещаем в локальной сети web-сервер (caddy, nginx,...)
- разрешаем при помощи LuCI - Network - Firewall - Port Forwards доступ к этому серверу из WAN (перенаправляем трафик с external port 443/80 на IP+порт локальной сети, прослушиваемый сервером
- доступ к серверу по внешнему IP:port работает
- создаём в панели управления Cloudflare A-запись, назначаем имя, указываем наш IP и признак proxied
- если в секциях подкопа не добавлен список сообщества Cloudflare или пользовательские списки подсетей с указанием префиксов Cloudflare - доступ к серверу по имени http://fqdn или https://fqdn работает
- добавляем список Cloudflare в любую из секций Podkop
=> доступ по доменному имени к серверу пропадает (при запущенном Podkop)
✅ Ожидаемое поведение
Ожидаемое поведение - Port Forwarding работает, сервер в локальной сети доступен из сети интернет по имени как с запущенным Podkop, так и с остановленным
🖥️ Информация о системе
- **OpenWrt версия**: 24.10.*
- **Podkop версия**: 0.7.10
- **Роутер модель**: любой
- **Sing-box версия**: 1.12.12⚙️ Конфигурация
Пример конфига Podkop: https://t.me/itdogchat/81758/1040629