Iptables натит 500 порт в привилегированный диапазон — как исправить?

Question

[Максим Гришин]

Проверяю работу L2TP/IPsec VPN изнутри сети на файрволле через tcpdump и вижу, что стартовые пакеты UDP инкапсуляции почему-то затеяли уходить со странным портом (48). Ничего не менял (с), через пару минут тот же клиент натился уже в совпадающий порт (может, было ещё соединение изнутри?) и IPsec over NAT-T успешно построился. Вопрос - как можно заставить iptables натить привилегированный диапазон портов в обычный, чтобы не было проблем с несколькими VPN-клиентами за одним файрволлом? NAT-правило как по учебнику для статического IP:

iptables -t nat -A POSTROUTING -s 10.x.x.0/24 -o eth1 -j SNAT --to-source yy.yy.yy.yy

Answer 1

[Вячеслав Рахинский]

## Change source addresses to 1.2.3.4, ports 1-1023
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1.2.3.4:1-1023

Comments

[Максим Гришин]

То есть разбивать правило NAT на два, одно под TCP второе под UDP? Досадно, ну ладно.

[Вячеслав Рахинский]

Попробуй просто без указания tcp/udp
iptables -t nat -A POSTROUTING -s 10.x.x.0/24 -o eth1 -j SNAT --to-source yy.yy.yy.yy:1024-32000
То что я скинул это просто пример что для SNAT можно задавать Port range

[Максим Гришин]

Вячеслав Рахинский, не дает :)
iptables v1.4.21: Need TCP, UDP, SCTP or DCCP with port specification