- •Iptables
- •История
- •Архитектура
- •Основные понятия
- •Принцип работы
- •Основные компоненты
- •netfilter
- •iptables
- •conntrack
- •nfnetlink
- •ipset
- •ipvs
- •Механизм определения состояний
- •Критерий состояния соединения
- •Маркировка соединений
- •Использование статистики по соединениям
- •Ограничение количества соединений
- •Отслеживание информации о соединениях
- •Действия
- •Переходы
- •Встроенные действия
- •Терминальные и нетерминальные действия
- •Таблицы
- •Таблица mangle
- •Цепочки
- •Действия
- •Таблица nat
- •Цепочки
- •Действия
- •Таблица filter
- •Цепочки
- •Действия
- •Таблица security
- •Цепочки
- •Действия
- •Таблица raw
- •Цепочки
- •Действия
- •Таблица rawpost
- •Цепочки
- •Действия
- •Критерии
- •Универсальные критерии
- •Критерии, специфичные для протоколов
- •IPsec
- •Критерии состояния соединения
- •conntrack
- •state
- •Дополнительные критерии
- •Вспомогательные критерии
- •Критерии маркировки
- •Лимитирующие критерии
- •Критерий recent
- •Критерий u32
- •Прочие критерии
- •Критерии из набора xtables-addons
- •Программы
- •Основные
- •iptables
- •ipset
- •Вспомогательные
- •Фронтенды
- •С веб-интерфейсом
- •Модули ядра
- •Параметры sysctl/procfs
- •Псевдофайлы procfs
- •Параметры, относящиеся к протоколам
- •Расширения
- •Userspace-компоненты
- •Наборы дополнительных критериев и действий
- •Patch-o-Matic
- •Команды
- •Команды модификации правил
- •Параметры определения правил
- •Модули
- •Некоторые из встроенных (входящие в стандартный пакет)
- •state
- •connlimit
- •iprange
- •multiport
- •Примечания
- •Литература
- •Ссылки
- •Лицензия
Iptables |
34 |
Таблица rawpost
Данная таблица предназначена для выполнения операций «сырого» преобразования адресов (без использования информации о соединениях), которые не могут быть реализованы в рамках таблицы raw, а именно, для операции «сырой» подмены исходного адреса (маскарадинга).
Как и в таблице raw, в rawpost отсутствует возможность обращения к conntrack, поэтому критерии, использующие эту подсистему (conntrack, connmark, connlimit, connbytes), в этой таблице работать не будут.
Данная таблица реализована в рамках проекта xtables-addons и отсутствует в стандартном комплекте iptables/netfilter.
Цепочки
• POSTROUTING — обрабатывает весь исходящий трафик.
Действия
В таблице rawpost можно использовать действие RAWSNAT, выполняющее операцию «сырой» подмены исходного адреса. Имеет единственную опцию --to-source адрес[/маска], позволяющую задать новый исходный адрес для обрабатываемых пакетов. Как обычно, при наличии маски, в обрабатываемых адресах изменяются только те биты, которые в маске установлены в единицу, при отсутствии маски адрес изменяется целиком. Например, если по правилу
iptables -t rawpost -A POSTROUTING -o eth0 -s 10.125.0.0/16 -d 172.18.1.100 -j RAWSNAT --to-source 192.168.0.20/16
будет обработан пакет с исходным адресом 10.125.32.28, то этот адрес будет заменен на 192.168.32.28.
Если же при задании правила маску /16 в параметре --to-source опустить, адрес будет заменен на 192.168.0.20. Но так лучше не делать, потому что мы выполняем трансляцию для всех пакетов из подсети 10.125.0.0/16, и без отслеживания соединений не сможем отличить, какие пакеты следует вернуть 10.125.32.28, а какие — другим хостам из этой подсети. Сама же операция «возвращения» пакетов требует отдельного RAWDNAT-правила:
iptables -t raw -A PREROUTING -i eth0 -s 172.18.1.100 -d 192.168.0.0/16 -j RAWDNAT --to-destination 10.125.0.0/16
которое выполняет обратную подмену, заменяя адреса назначения в пакетах-ответах. Таким образом, хост 172.18.1.100 будет считать, что к нему обращаются хосты из подести 192.168.0.0/16, а вовсе не из 10.125.0.0/16.
Для сравнения, с использованием stateful-преобразования достаточно одного правила
iptables -t nat -A POSTROUTING -o eth0 -s 10.125.0.0/16 -d 172.18.1.100 -j NETMAP --to 192.168.0.0/16
которое будет обеспечивать все необходимые преобразования адресов.
Заметим, что для корректной работы обеих описанных конфигураций требуется, чтобы хост 172.18.1.100, а также маршрутизаторы на пути от нашего хоста к нему, считали наш хост шлюзом для сети 192.168.0.0/16.