Как адаптировать правило из фаирвола MikroTik-a под синтаксис Linux-ового iptables?

Question

[Александр Карабанов]

Есть такие правило:

/ip firewall nat
add place-before=0 chain=srcnat src-address=192.168.0.0/24 dst-address=172.16.0.0/24

Как его адаптировать под Linux-овый iptables?
И сопутствующий вопрос: нет ли способа попасть в линуксовый шелл (sh или bash, да что угодно) на MikroTik-e? Если есть такая возможность, то достаточно ввести iptables -S и всё станет ясно.

Comments

[Владимир]

лучше скажите что оно должно делать

[Александр Карабанов]

Это правило должно SNAT-ить из всё, что идёт из 192.168.0.0/24 в 172.16.0.0/24. Как оно работает на MikroTik-e мне не ясно...
Вот тут www.youtube.com/watch?v=_AyZ0kH76Oc есть видос в котором дядька описывает, как законфижить IPsec на MikroTik-aх и среди прочего добавляет в фаирвол эти правила, как оно работает я не догоняю, но мне надо адаптировать его для Linux.

[Александр Карабанов]

В вопрос призывается Bulroh

Answer 1

[Владимир]

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j MASQUERADE

но предпочтительней SNAT

странная затея маскарадить между серыми сетями
тем-более если построены туннели

Comments

[Александр Карабанов]

Уау загляни я сюда 2 часа назад сэкономил бы два часа. Спасибо.

Answer 2

[Александр Карабанов]

Методом тыка и ряда логических умозаключений было выяснено, что если сказать:

sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j MASQUERADE

то всё начинает работать.

UPD:
Вот тут ещё появился диалог на эту тему.

Answer 3

[Руслан Федосеев]

ну так и записать
iptables -t nat -A -s 192.168.0.0/24 -d 172.16.0.0/24 -j SNAT

только правило у вас какое то недописанное - action отсуствует. Так что не могу сказать, от какого адреса SNAT выполняется

Comments

[Александр Карабанов]

Не а.

travel:~$ sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j SNAT
iptables v1.4.21: SNAT: option "--to-source" must be specified

Try `iptables -h' or 'iptables --help' for more information.
travel:~$

Решить задачу вот так в лоб я попробовал в первую очередь...

Answer 4

[Azazel PW]

Александр Карабанов: правильно вам iptables пишет.
iptables v1.4.21: SNAT: option "--to-source" must be specified

Потому как нужно правильно писать
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/24 -j SNAT --to-source %ip адрес интерфейса через который идет связь до 172.16.0.0/24%

Comments

[Александр Карабанов]

И это логично. Непонятно, как MikroTik решает эту проблему если ему не не говорят какой адрес использовать для SNAT...

[Azazel PW]

Александр Карабанов: Исходники я не видел поэтому точно утверждать не могу. Но в теории, просто смотрит ip->routes если данная сеть там прописана, то выбирает этот интерфейс. Если нет, пускает через глобальный 0.0.0.0/0