Изменения порта источника в iptables?

Question

[by_EL]

Здравствуйте, можно ли задать правилу srcnat в таблице nat в цепочке prerouting , мне нужно изменить адрес отправителя и порт отправителя в пакете который пришел из внешней сети такое можно сделать ? (srcnat prerouting) ,
PS: обычно пишут что в цепочке prerouting используют dstnat

Comments

[Bermut]

Нет, в противном случае это поломало бы цепочку обработки правил для iptables.

Answer 1

[AUser0]

Можно,

iptables -t nat -I POSTROUTING -s 11.22.33.44 -j SNAT --to-source 253.254.255.256:3030

Comments

[by_EL]

Спасибо
Просто интересно что если вы заметили всегда цепочку prerouting ассоциируют с dstnat зачем-то не пишут об srcnat

[SunTechnik]

Dst меняют, что бы покинуть запросы на другой сервер (например - на внутренние адреса), а какой смысл менять src?
Какую задачу решаем?
Мне не приходит в голову работающий пример...

[by_EL]

SunTechnik, Я с вами полностью согласен, меня просто заинтересовало по теории должно srcnat (prerouting) но это часто не упоминают только ассоциировав с dstnat(prerouting)

[Дмитрий]

Вот тут картинка процесса обработки пакетов в микротик, чей файрвол сделан на основе iptables. Src-nat нет смысла ставить в prerouting, т.к. маршрут уже должен быть определен, собственно postrouting - после роутинга.