[iptables] SNAT & MASQUERADE

Попробуйте болие точно укзанать параметры, кроме интерфейса укажите ещё -s в параметре для маскарад и СНАТ

-s там ес-но присутствует.
В конкретной ситуации и применение MASQUERADE непринципиально, заменил на снат. Но хочется понять механизм проблемы.

Если вам так интересно - то поставте перед каждым правилам по -j LOG ... и смотрите логи, и сравниваете... А вобще маскарадинг полезная только в том случае - если динамический айпи, или много интерфейсов на который надо делать SNAT ... грубо говоря.. маскарад это динамический SNAT, только который не жёстко вбивает в заголовок «source» определённый айпи который определил администратор... А выберает выходя из данных в таблице маршрутизации..

Дайте же уже iptables-save.

Можно ещё сделать тестовый проход пакета. Сначала iptables -t nat -Z потом ping -c 1 ЧТО-ТО_ТАМ и посмотреть на iptables-save -c.

Может быть всякое, но я не помню косяков с MASQUERADE в 2.6 ядрах. Лучше найдите время и разберитесь подробнее.

Если считаете, что неправильный src-адрес пакета, запустите дампер пакетов и ищите неправильные. Можно такой командой «tcpdump -i eth2 -n -nn ether host MAC-адрес-интерфейса and src host '!' IP-интерфейса»