iptables SNAT - как сделать динамическую смену?

[TrEK]

Всем добрый день.
Возник вопрос, есть правило трансляции адресов -A POSTROUTING -s 192.168.0.1 -o eth1 -j SNAT --to-source 194.187.190.182
Стоит задача сделать так, чтобы все исходящие запросы с сервера шли с ip адресов диапазона 194.187.190.182/24, причем рандомно.

[Mam(O)n]

До ядра 2.6.26 можно было задавать в виде x.x.x.x-y.y.y.y

[TrEK]

Задал так, но снатиться через одну айпишку.

возможно надо цепляться за "-m random --average" ?

[Mam(O)n]

А версия ядра какая? По моему, -m random уже выпилили из новых версий ядер.

[TrEK]

root@ubuntu:/etc# uname -a
Linux ubuntu 2.6.27 #1 SMP Wed Oct 22 13:28:40 EEST 2008 i686 GNU/Linux


root@ubuntu:/etc# iptables -V
iptables v1.4.2-rc1

[Mam(O)n]

Выпилили. Как random так и диапазоны.

[TrEK]

тоесть в новых версиях ядра нету ни рендома ни диапазонов?...
ну а какое тогда решение задачи?

[Mam(O)n]

Почитал щас ман iptables. Попробуй так:

-A POSTROUTING -s 192.168.0.1 -o eth1 -j SAME --to 194.187.190.1-194.187.190.254 --nodst

авось получится

[TrEK]

root@ubuntu:/etc# cat /etc/iptables-save | iptables-restore
iptables-restore: line 50 failed

[Mam(O)n]

Пля. И его выпилили. А в манах этого не отразили.

[TrEK]

Что ж они только выпиливают все... 
Лучше б дело доброе сделали, в виде дополнительных плюшек.
Пользователь решил продолжить мысль 17 Марта 2010, 16:48:59:Какие варианты?

[roma333]

iptables -A POSTROUTING -s 192.168.0.1 -m iprange --dst-range 194.187.190.1-194.187.190.254

а так не работает?

[Mam(O)n]

-m iprange --dst-range 194.187.190.1-194.187.190.254

Это выборка по условию, а нам нужно натить по источнику.

[roma333]

Тогда можно в лоб - сделать массив адресов адресов и генерить правила циклом если адреосв немного.
Но разумнее воспользоваться ipset - http://ipset.netfilter.org/

Вот статья по использованию - http://wiseelf.blogspot.com/2006/08/ipset-iptables.html

[Mam(O)n]

Но разумнее воспользоваться ipset - http://ipset.netfilter.org/

Опять не то

Depending on the type, currently an IP set may store IP addresses, (TCP/UDP) port numbers or IP addresses with MAC addresses in a way, which ensures lightning speed when matching an entry against a set.