Iptables -SNAT подмена ip

[Remikon]

Добрый день,
Помогите пожалуйста разобраться с SNAT.
Задача следующая. Нужно конкретному пользователю  наружу дать конкретный IP. провайдер предоставляет их несколько...
Собственно вот правила которые использую

Код: [Выделить]

-A POSTROUTING -s 10.0.0.40/32 -o eth0 -j SNAT --to-source 212.38.43.187
-A POSTROUTING -o eth0 -j SNAT --to-source 212.38.43.186
По каким-то непонятным мне причинам
Первое правило для конкретного ip адресса не срабатывает.
А вот второе для всех работает. местами менял 0 реакций. все равно с  40 ип-адресса наружу выходит с IP 186

[ArcFi]

Добавить

Код: [Выделить]

! -s 10.0.0.40/32?

[Remikon]

Добавить

Код: [Выделить]

! -s 10.0.0.40/32?

Тогда у всех становится адрес 212.38.43.187

[fisher74]

Имелось ввиду во втором правиле

-A POSTROUTING ! -s 10.0.0.40/32 -o eth0 -j SNAT --to-source 212.38.43.186

Пользователь решил продолжить мысль 12 Августа 2013, 14:43:36:А давайте всю таблицу nat посмотрим?

[Remikon]

Вот вся таблица

Код: [Выделить]

Chain INPUT (policy ACCEPT 61995 packets, 3704K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 14229 packets, 977K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 1251 packets, 73253 bytes)
 pkts bytes target     prot opt in     out     source               destination
 3101  270K SNAT       all  --  *      eth0    10.0.0.40            0.0.0.0/0            to:212.38.43.187
53816 4282K SNAT       all  --  *      eth0    0.0.0.0/0            0.0.0.0/0            to:212.48.34.186



[fisher74]

Вы вручную строчки набиваете сюда?

[Remikon]

Да.

[fisher74]

Заметно...
А какая религия запрещает копипастить?
Предлагаемое условие пробовали добавлять?

[Remikon]

Если меняю местами вот - так

-A POSTROUTING -o eth0 -j SNAT --to-source 212.38.43.186
-A POSTROUTING ! -s 10.0.0.40/32 -o eth0 -j SNAT --to-source 212.38.43.187

То у всех остается  внешний ip 212.38.43.186

[fisher74]

Вы внимательней прочтите что Вам предлагают.

[Remikon]

Вы внимательней прочтите что Вам предлагают.

Читаю внимательно и е могу вас понять (...
Не могли бы по подробнее ?

[fisher74]

А зачем понимать? я Вам даже написал какое правило изменить. Тупо копипастим вместо строки, где нет выделенного и тестим. (метод копирования не важен)

[Remikon]

А зачем понимать? я Вам даже написал какое правило изменить. Тупо копипастим вместо строки, где нет выделенного и тестим. (метод копирования не важен)

Вставил вместо второго правила. Без изменений. таблица ната

Chain POSTROUTING (policy ACCEPT 10 packets, 617 bytes)
 pkts bytes target     prot opt in     out     source               destination
    4   222 SNAT       all  --  *      eth0    10.0.0.40            0.0.0.0/0            to:212.38.43.187
  160 11569 SNAT       all  --  *      eth0   !10.0.0.40            0.0.0.0/0            to:212.38.43.186


А сами правила выглядят следующим образом

Код: [Выделить]

-A POSTROUTING -s 10.0.0.40/32 -o eth0 -j SNAT --to-source 212.38.43.187
-A POSTROUTING ! -s 10.0.0.40/32 -o eth0 -j SNAT --to-source 212.38.43.186



[fisher74]

А как видите, что с неправильным source-address улетает? Шаркали на интерфейсе?

[Remikon]

А как видите, что с неправильным source-address улетает? Шаркали на интерфейсе?

XЧто простите ?