iptables nat

[guеst]

подскажите такой вопрос, можно ли сделать в iptables в таблице NAT цепочки правил дополнительно разделив по таблицам?

ну по аналогии с таблицей filter:

.................
-A FORWARD -s 192.168.198.0/23 -d 10.45.0.0/21 -j ras-corp
...........
-A ras-corp -d 10.45.0.145/32 -p udp -m udp --dport 53 -j ACCEPT
-A ras-corp -d 10.45.0.145/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A ras-corp -d 10.45.0.45/32 -p udp -m udp --dport 53 -j ACCEPT
-A ras-corp -d 10.45.0.45/32 -p tcp -m tcp --dport 53 -j ACCEPT

кто-нибудь пробовал так делать? есть ли пример

 

зачем это нужно? 

пытаюсь городить на линукс роутере "две ноги" в сторону глобала где еще несколько устройств (но одинаково с каждой ноги) и ospf.

на Линуксе SNAT на интерфейсах и когда ospf отрабатывает и меняет default , то что отSNATчивается, оно должно теперь быть с IP , которые висят на том интерфейсе где теперь default....

Если можно в NAT таблице группировать цепочки по аналогии с таблицей filetr, то это бы решило...

 

Edited May 13, 2021 by guеst

[alibek]

Можно, принцип тот же.

Но непонятно, чем это поможет.

Адрес трансляции ведь в финальном правиле указывается.

[GrandPr1de]

зачем так сложно

сделай два правила SNAT только укажи разные out интерфейсы

[pppoetest]

Если трафик небольшой, можно заменить snat на маскарадинг указав out интерфейс, айпишник будет лукапиться самостоятельно.

[vop]

Если вы продаете реальные адреса натом, и таких "многа-многа", то есть смысл побить по подсетям. Если нет - смысла особого нет, как бы.

[guеst]

спасибо за советы. на выходных попробую значит сделать группировку по таблицам, если не выйдет, то да, действительно можно сделать как сказал @GrandPr1de , я что-то про это не подумал....