iptables snat a negace (vyřešeno)

Ahoj,

mam ted toto pravidlo

/sbin/iptables -t nat -A POSTROUTING -o eth0 -s $IP ! -d 10.0.0.0/8 -j SNAT --to $MASKARADA

a potreboval bych ho rozsirit takto ,coz samozrejmne nelze

/sbin/iptables -t nat -A POSTROUTING -o eth0 -s $IP ! -d 10.5.1.0/24 , 55.25.4.0/24 -j SNAT --to $MASKARADA

Lze toto nejak udelat?

Dik za kazdy napad.

Odpovědi

Podle man iptables to lze, ale bude to dělat něco jiného, než chcete – přeloží se to do dvou pravidel. Řešení je vytvořit si nový řetězec (chain), do něj nasměrovat komunikaci, která vyhoví -o eth0 -s $IP a tam přidat pravidla

iptables -t nat -A MY_CHAIN -d 10.5.1.0/24 -j RETURN
iptables -t nat -A MY_CHAIN -d 55.25.4.0/24 -j RETURN
iptables -t nat -A MY_CHAIN -j SNAT --to $MASKARADA

Dá se to udělat i bez toho nového řetězce, ale pak je potřeba dát pozor na pořadí vzhledem k ostatním pravidlům.

/sbin/iptables -t nat -A POSTROUTING -o eth0 -s $IP ! -d 55.25.4.0/24 -j MARK --set-mark 1
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s $IP ! -d 10.5.1.0/24 -j MARK --set-mark 1
/sbin/iptables -t nat -A POSTROUTING -o eth0 -m mark --mark 1 -j SNAT --to $MASKARADA

14.2.2011 14:07 uju
Rozbalit Rozbalit vše Re: iptables snat a negace

Nenastavi nahodou prvni pravidlo mark 1 pro IP z 10.5.1.0/24 a 2. pravidlo pro IP z 55.25.4.0/24?

14.2.2011 20:58 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: iptables snat a negace

Přesně tak, když se to udělá takto, budou mít po průchodu druhým pravidlem značku 1 všechny pakety. Muselo by se to udělat naopak: nejdřív nastavit značku paketům z jednoho rozsahu, potom paketům z druhého rozsahu a nakonec aplikovat SNAT na pakety, kterým nebyla značka nastavena.

Dotaz: iptables snat a negace

Odpovědi