[Dyr]

Коллеги, а может кто-нибудь просветить, как использовать ipset с DNAT'ом для организации NAT'a в виде 1:1 (то есть binat в терминах pf'а)? Как в ipset запихать src и dst адреса в принципе понятно - использовать тип ipportiphash. А как потом это использовать?

 

Был бы очень признателен за помощь.

 

А то надо бы второй сервер под NAT сделать, FreeBSD и однопоточный pf с его заморочками по GRE несколько задолбали.

 

 

[lessless]

точно так же как и без ipset, только в этом случае для классификации вместо параметров netfilter используются классификаторы модуля set или гибридная классификация netfilter+ipset ;)

[Oleg Gawriloff]

Гмм. Все же можно ли пример. Т.е. хочется сделать примерно следующее:

ipset create binat-clients hash:ip,port,ip

ipset add binat-clients <внутренний IP A>,0,<внешний IP B>

ipset add binat-clients <внутренний IP A1>,0,<внешний IP B1>

А затем сделать что-нибудь вроде такого:

-A POSTROUTING -m set --match-set binat-clients src -o vlan202 -j SNAT --to-source --match-set binat-clients dst

[s.lobanov]

ipset это множество, которое по определению не упорядочено, поэтому так делать нельзя

[vop]

В модулях DNAT/SNAT нет динамического или табличного добавления адресов. К сожалению. Так-что только обычным способом. Что, собственно говоря, не так уж и страшно при умеренном количестве адресов. Хотя, если внешних адресов достаточное количество, то можно мапить клиентов напрямую при помощи тагета NETMAP

Изменено 12 ноября, 2012 пользователем vop