Как натить ответы на tcp соединения?

Question

[Konkase]

Добрый день!

Есть схема Client->Server

192.168.55.55 - client
192.168.100.246 и 192.168.49.56 - server

Клиент общается к серверу на 192.168.100.246:tcp:5689, нужно завернуть так, чтобы сервер ответил клиенту подставляя source 192.168.49.56:tcp:5689.

В nat POSTROUTING натятся только новые соединения, для ответов на входящие пакеты нат не работает.

Не спрашивайте зачем. Нужно так.

Answer 1

[Mystray]

Очень топорное и рискующее отстрелить себе ногу решение: stateless nat (tc filter action nat) . В вашем случае вешать на интерфейс в сторону клиента. Ему плевать на состояние, на флаги tcp и на iptables, оно просто ставит один адрес вместо второго не всех пакетах, подпадающих под match.
Как-то так (не уверен насчет правильности аргументов, синтаксис tc страшен как ядерная война)
# tc qdisc add dev eth0 root handle 1: htb
# tc filter add dev eth0 \
protocol ip parent 1: prio 10 u32 \
match ip src 192.168.100.246/32 \
match ip protocol 6 0xff \
match ip sport 5689 0xffff \
action nat egress 192.168.100.246/32 192.168.49.56

Comments

[Konkase]

То что нужно.
Но похоже версия tc старая и не поддерживает это:
parse_action: bad value (4:nat)!
Illegal "action"

[Konkase]

С какой версии ядра это поддерживается?

[Mystray]

Konkase: Точно не скажу, на таком точно работает:
root@ubuntu14:/etc# tc -V
tc utility, iproute2-ss131122
root@ubuntu14:/etc# uname -a
Linux ubuntu14 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

Поиграйтесь с синтаксисом, может я что-то упустил
linux.programdevelop.com/2898840

[Konkase]

С синтаксисом всё норм. на 2.6.18 не работает. на 2.6.32 уже работает

Answer 2

[Руслан Федосеев]

ну можно через dnat завернуть запросы на другой адрес.

Только вы уверены, что клиент работать будет? Он то отправляет запрос на 192.168.100.246, и ответ от 192.168.49.56 его просто не интересует

Comments

[Konkase]

А можете пример привести? Работать и не должно, мне нужен сам факт ответов от другого адреса.

[Руслан Федосеев]

www.opennet.ru/openforum/vsluhforumID1/80314.html

пока писал пример, вспомнил про -j REDIRECT
попробуйте

Answer 3

[Владимир]

допустим 192.168.49.56 висит на eth1, 192.168.49.1 - шлюз к 192.168.55.55

iptables -t nat -A POSTROUTING -p tcp --sport 5689 -d 192.168.55.55 -o eth1 -j SNAT --to-source 192.168.49.56
ip ro add 192.168.55.55/32 via 192.168.49.1 dev eth1

здесь маршрут полностью задан (тоесть смаршрутизируется прочий трафик через eth1), но для проверки пойдет
можно промаркировать так что только ответы с порта 5689 будут рулится

Comments

[Konkase]

и натятся только новые соединения. мне нужно ответить на syn

Answer 4

[Олег Цилюрик]

Клиент общается к серверу на 192.168.100.246:tcp:5689, нужно завернуть так, чтобы сервер ответил клиенту подставляя source 192.168.49.56:tcp:5689.

Не станет TCP установленное соединение принимать пакеты с другого IP. Да и устанавливать 3-х шаговое соединение тоже не станет.
Вы почитайте разницу между датаграммными (UDP) и и потоковыми (TCP) сетями - это совершенно разные сети.

Comments

[Konkase]

Мне и не нужно принимать, мне нужно отправить ack подставив в src другой адрес.