karabanov
@karabanov
Системный администратор

Как адаптировать правило из фаирвола MikroTik-a под синтаксис Linux-ового iptables?

Есть такие правило:

/ip firewall nat
add place-before=0 chain=srcnat src-address=192.168.0.0/24 dst-address=172.16.0.0/24

Как его адаптировать под Linux-овый iptables?
И сопутствующий вопрос: нет ли способа попасть в линуксовый шелл (sh или bash, да что угодно) на MikroTik-e? Если есть такая возможность, то достаточно ввести iptables -S и всё станет ясно.
  • Вопрос задан
  • 828 просмотров
Решения вопроса 2
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j MASQUERADE

но предпочтительней SNAT

странная затея маскарадить между серыми сетями
тем-более если построены туннели
Ответ написан
karabanov
@karabanov Автор вопроса
Системный администратор
Методом тыка и ряда логических умозаключений было выяснено, что если сказать:

sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j MASQUERADE


то всё начинает работать.

UPD:
Вот тут ещё появился диалог на эту тему.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
martin74ua
@martin74ua
Linux administrator
ну так и записать
iptables -t nat -A -s 192.168.0.0/24 -d 172.16.0.0/24 -j SNAT

только правило у вас какое то недописанное - action отсуствует. Так что не могу сказать, от какого адреса SNAT выполняется
Ответ написан
@azazelpw
Linux SA
Александр Карабанов: правильно вам iptables пишет.
iptables v1.4.21: SNAT: option "--to-source" must be specified

Потому как нужно правильно писать
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j SNAT --to-source %ip адрес интерфейса через который идет связь до 172.16.0.0/24%
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы