Portál AbcLinuxu, 26. dubna 2024 00:34


Dotaz: IP tables a SNAT

12.12.2013 14:21 hermelin | skóre: 21
IP tables a SNAT
Přečteno: 289×
Odpovědět | Admin
Trosku si pohravam s iptables a nasel jsem jedno chovani co mi neni uplne jasne.

Radeji nazorne:

vnitrni sit je 172.16.0.0/24 venkovni sit je 10.0.0.1/30 a sit ze ktere je primo routovano je 192.168.0.0/24 
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 10.0.0.1
iptables -A FORWARD -s 192.168.0.0/16 -i eth1 -o eth0 -j ACCEPT
nadrazeny router mam take ve sprave ale nastaveni route neposilam - proste je to proroutovane a funguje to jak potrebuji. Pouze mi neni jasna presna funkcnost SNATu v iptables.

pokud dam ping napr. z pocitace 192.168.1.1 na 172.16.0.1 tak neni NATovano. (ani odpovidajici paket)

pokud dam ping napr. z pocitace 172.16.0.1 na 192.168.1.1 tak je NATovano.

Ale preci vsechny pakety co jdou ven pres eth1 maji podle prvni radky iptables prekladat zdrojovou adresu - tedy by to spavne nemelo fungovat.

Nebo tabulka NAT v iptables funguje tak ze pokud neni pro dany paket zaznam v tabulce NAT v kernelu tak jej pusti bez NATu dal ?

Jako ja jsem spokojeny jak to funguje - presne jak potrebuju - jenom mi neni jasne jakto ze nejsou SNATovany vsechny pakety ktere jdou na rozhrani eth1 (kdyz rozkaz v iptables znel jasne :-))

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

MMMMMMMMM avatar 12.12.2013 14:51 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: IP tables a SNAT
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nějak tomu nerozumím. Pro lepší názornost by bylo lepší vypsat všechna pravidla, která souvisí s routováním a NATem a to v příslušné posloupnosti + routovací tabulku. Upřímně mi to připadá jako guláš. :)
Linux Dokumentační Projekt - PDF ke stažení
12.12.2013 15:23 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: IP tables a SNAT
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zkusim tedy obrazek :-) 

 internet
     |
     |                                                    
------------ eth1: 10.0.0.254      eth1: 10.0.0.1 (SNAT)  -----------
- router 1 ------------------------------------------------ router 2 -
------------                                              -----------
    |                                                          |
   PC 1                                                       PC 2

 192.168.1.1                                               172.16.0.1
router 1 ma k beznemu routovani navic: 
ip route add 172.16.0.0/24 via 10.0.0.1 dev eth1
router 2: 
ip route add default via 10.0.0.254

iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 10.0.0.1
iptables -A FORWARD -s 192.168.0.0/16 -i eth1 -o eth0 -j ACCEPT
Řešení 1× (hermelin (tazatel))
12.12.2013 16:07 ET
Rozbalit Rozbalit vše Re: IP tables a SNAT
zeby https://home.regit.org/2013/04/netfilter-and-icmp-error-messages/ ?

Being in a RELATED state, it will not cross the NAT in POSTROUTING as only packet with a connection in state NEW are sent to the nat tables.
12.12.2013 17:41 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: IP tables a SNAT
Super - to je presne ono co jsem chtel zjistit jestli je nekde zadokumentovano.

Diky
12.12.2013 17:51 ET
Rozbalit Rozbalit vše Re: IP tables a SNAT
feer, ani jsem o tom nevedel, jen UTFG ;)
12.12.2013 16:13 NN
Rozbalit Rozbalit vše Re: IP tables a SNAT
Protoze FORWARING se vykona pre NAT pravidlem, i kdyz jsou zapsane naopak? Viz obrazek.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.