[Andy52280]

Есть табличка

Name: DNAT-ports-X.X.X.89
Type: hash:ip,port
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 17120
References: 0
Members:
10.109.12.114,udp:87
10.109.12.114,udp:82
10.109.12.114,tcp:84
10.109.12.114,udp:86
10.109.12.114,udp:80
10.109.12.114,tcp:81
10.109.12.114,tcp:87
10.109.12.114,udp:84
10.109.12.114,udp:85
10.109.12.114,udp:83
10.109.12.114,udp:3074
10.109.12.114,tcp:83
10.109.12.114,udp:88
10.109.12.114,tcp:86
10.109.12.114,tcp:88
10.109.12.114,tcp:3074
10.109.12.114,tcp:80
10.109.12.114,tcp:82
10.109.12.114,udp:81
10.109.12.114,tcp:85

очень хочется сделать на ее основе DNAT для замены конструкций типа

iptables -t nat -A DNAT-X.X.X.89 -p tcp --dport 80:87 -j DNAT --to-destination 10.109.12.114
iptables -t nat -A DNAT-X.X.X.89 -p udp --dport 80:87 -j DNAT --to-destination 10.109.12.114
iptables -t nat -A DNAT-X.X.X.89 -p tcp --dport 3074 -j DNAT --to-destination 10.109.12.114
iptables -t nat -A DNAT-X.X.X.89 -p udp --dport 3074 -j DNAT --to-destination 10.109.12.114

одним правилом с ipset, однако так и не врубился реализуемо ли это

iptables -t nat -A DNAT-X.X.X.89 -m set --match-set DNAT-ports-X.X.X.89 dst -j DNAT --to-destination dst

приводит к

iptables v1.4.12.1: Bad IP address "dst"

 

Поделитесь, пожалуйста, опытом, как реализуются подобные конструкции? И работает ли это вообще?

[bos9]

iptables -t nat -A DNAT-X.X.X.89 -m set --match-set DNAT-ports-X.X.X.89 dst -j DNAT --to-destination dst

 

ну это строка вообще как-то слабо вяжется с синтаксисом DNAT