Задать вопрос
@Vladislav_vb
linux

Кто сталкивался что iptables -j SNAT не всегда «натит» пакеты?

На внешнем интерфейсе проскакивают пакеты, содержащие в поле SRC адреса внутренней сети, такие как 192.168.0.0/24, что весьма неплохо раскрывает содержание внутренней сети. В поле DST указан нормальный адрес куда шлет пакет.
Правила только:
root@Inet:~# iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -o eth2 -j SNAT --to-source XX.YY.ZZ.WW

Показывает не все пакеты, а лишь частично (около 1% примерно, точно не считал).
  • Вопрос задан
  • 301 просмотр
4 комментария
Подписаться 1 Оценить 4 комментария
Пригласить эксперта
Ответы на вопрос 1
Mystray
@Mystray
NOC
Через -t nat проходит только первый пакет из каждого соединения, и он должен быть в состоянии коннтрека NEW, все остальные "отначенные" пакеты в рамках соединения "визуально" не проходят через эту таблицу, и не считаются, хоть и натятся.
А если у вас изначально пролетают пакеты в состоянии "INVALID", то они тоже не пройдут через -t nat. Не нравится такое поведение - делайте -I FORWARD -m state --state INVALID -j DROP
Ответ написан
1 комментарий
1 комментарий
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Системный администратор Astra Linux
Гринатом Новосибирск
До 60 000 ₽
Системный инженер (Windows/Astra Linux)
Гринатом Новосибирск
До 57 000 ₽
Ведущий инженер Linux
Интер РАО – Управление сервисами Москва
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Развернуть OpenSource софт на сервере
23 нояб. 2024, в 17:32
5000 руб./за проект
Отрисовать дизайн веб-страницы генерации математических примеров
23 нояб. 2024, в 16:00
10000 руб./за проект
Сделать бот программу для браузерной игры
23 нояб. 2024, в 15:17
5000 руб./за проект
Ещё заказы