Portál AbcLinuxu, 10. května 2025 13:28

Dotaz: [iptables] SNAT v PREROUTING chainu

20.12.2013 14:29 TSarevna
[iptables] SNAT v PREROUTING chainu
Přečteno: 250×
Odpovědět | Admin
Mám tu hlavolam...

Z ethernetu 10.230.0.0/16 mi tečou do routeru pakety. Na routeru se uzavírá policy-based IPSec, kterej má na místním konci rozsah 172.16.0.0/16. No a já potřebuju, aby ty data z toho ethernetu lítaly do toho IPSecu.

Ten IPSec je dělanej openswanem, takže jede v userspace (nemá interface). Tudíž pakety pro něj jedou přes INPUT a ne přes FORWARD->POSTROUTING, kde bych SNAT dělal normálně...

Bohužel udělat

iptables -t nat -A PREROUTING -s 10.230.122.53 -j SNAT --to-source 172.16.122.53

nejde :(
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

20.12.2013 14:35 NN
Rozbalit Rozbalit vše Re: [iptables] SNAT v PREROUTING chainu
Odpovědět | | Sbalit | Link | Blokovat | Admin 
-A POSTROUTING
20.12.2013 14:42 TSarevna
Rozbalit Rozbalit vše Re: [iptables] SNAT v PREROUTING chainu
No - vždyť to píšu. Tenhle traffic se do POSTROUTINGu nikdy nedostane, userspace program ho odebere někdy během routování.
20.12.2013 15:05 Sten
Rozbalit Rozbalit vše Re: [iptables] SNAT v PREROUTING chainu
Odpovědět | | Sbalit | Link | Blokovat | Admin
Tohle bude potřebovat prohnat ty packety alespoň jednou přes POSTROUTING (směrem tam i zpět). Napadá mě nastavit tam routování pro ty NATované packety (před zaNATováním a před odNATováním) tak, že se protočí přes lo a při tom se NATují.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.