Задать вопрос
@Vladislav_vb
linux

Кто сталкивался что iptables -j SNAT не всегда «натит» пакеты?

На внешнем интерфейсе проскакивают пакеты, содержащие в поле SRC адреса внутренней сети, такие как 192.168.0.0/24, что весьма неплохо раскрывает содержание внутренней сети. В поле DST указан нормальный адрес куда шлет пакет.
Правила только:
root@Inet:~# iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -o eth2 -j SNAT --to-source XX.YY.ZZ.WW

Показывает не все пакеты, а лишь частично (около 1% примерно, точно не считал).
  • Вопрос задан
  • 298 просмотров
4 комментария
Подписаться 1 Оценить 4 комментария
Пригласить эксперта
Ответы на вопрос 1
Mystray
@Mystray
NOC
Через -t nat проходит только первый пакет из каждого соединения, и он должен быть в состоянии коннтрека NEW, все остальные "отначенные" пакеты в рамках соединения "визуально" не проходят через эту таблицу, и не считаются, хоть и натятся.
А если у вас изначально пролетают пакеты в состоянии "INVALID", то они тоже не пройдут через -t nat. Не нравится такое поведение - делайте -I FORWARD -m state --state INVALID -j DROP
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Linux Администратор DevOps
ИМАГ Москва
от 150 000 до 170 000 ₽
Программист C/C++ embedded Linux
РТК Автоматика Москва
от 170 000 до 250 000 ₽
Системный инженер/ DevOps (удаленно)
Git in Sky
До 200 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Реализовать полноценную систему учета в Битрикс24
02 мая 2024, в 10:36
10000 руб./за проект
Разработать сервис на Golang
02 мая 2024, в 10:26
1500 руб./в час
Перенести 9 страниц сайта из песочницы на бой
02 мая 2024, в 10:01
15000 руб./за проект
Ещё заказы