Как перенаправить трафик вместе с ip клиента?

Question

[Risin0]

Всем привет.

Понадобилось временно перенаправить трафик с порта одной машины на другую. Через iptables это делается просто: iptables -t nat -A PREROUTING -p 11111 --dport port -j DNAT --to-destination 1.2.3.4:11111
iptables -t nat -A POSTROUTING -j MASQUERADE

Всё работает, но есть одно НО (вполне логичное), на машине куда перенаправляется трафик отбивается ip машины на которой перенаправление, а не ip клиента.

ip куда перенаправляется не находится в той же сети!

Возможно ли перенаправить трафик с оригинальным ip клиента, а если возможно то как?

Answer 1

[Mystray]

Вот это вот:
iptables -t nat -A POSTROUTING -j MASQUERADE
подменяет Source IP адрес у всех уходящих пакетов на IP этой машины. Уберете это правило (или ограничите область его действия) - не будет подменяться.
Но надо следить, чтоб и обратный трафик так же проходил через ту же машину, которая подменяет адреса, как минимум для протоколов с двусторонним обменом данными. Без этого все сломается.
Если же там syslog или другие "односторонние" udp-протоколы, то будет нормально.

Либо, если есть возможность, использовать прокси и средства L7 протоколов вроде заголовка X-Forwarded-For.

Answer 2

[Владимир Ио]

Если я не ошибаюсь, вы делает проброс, а не редирект. Для редиректа есть команда REDIRECT для локальной сети.
Вот тут описана ваша ситуация - www.debuntu.org/how-to-redirecting-network-traffic...

Comments

[Risin0]

REDIRECT ведь только для локалки?

[Владимир Ио]

Risin0: Вы не сообщали, что они в одной сети. Поправил ответ.

Answer 3

[Дмитрий Червонобаб]

Вам нужно зеркалирование траффика (mirroring).
Требуется использовать --tee. Подробнее на Хабре:
m.habrahabr.ru/post/55256