iptables | подмена адресов подсети

>-d x.y.42.192/27 -j NETMAP --to x.y.1.192/27

Не-не-не, Девид Блейн, там другая маска, не подсети. Кури ман.

>но как с ним работать в построутинге неясно

Зачем?

> там другая маска, не подсети. Кури ман.
Курение мана не дало результата, за сим вам и пишу.
И какая же там может быть маска, если не маска подсети?

> > но как с ним работать в построутинге неясно
> Зачем?
Ну мне же нужно заменить адрес источника c x.y.1.z на фейковый x.y.42.z.
А это делается в построутинге, am i right?

Есть ещё NETMAP, для прероутинга

Не гони, оно для любой цепочки в таблице nat

В POSTROUTING прекрасно добавляется и работает.

>> там другая маска, не подсети. Кури ман.
>Курение мана не дало результата, за сим вам и пишу.
>И какая же там может быть маска, если не маска подсети?

Ну, читая ман, может сложится впечатление что это не маска подсети, но в действительности получается как раз она :)
Все адреса прошедшие через NETMAP будут преобразованы таким образом, что они будут принадлежать подсети в аргументе --to
А будут ли коллизии при преобразовании уже зависит от таких аргументов как -d, -s и прочих условий.

Если исходная сеть имеет ту же маску что и указанная в NETMAP то как раз получится маппинг один к одному.

Чтобы все корректно работало нужны записи и в POSTROUTING и PREROUTING, иначе будет работать в одну сторону.

> В POSTROUTING прекрасно добавляется и работает.
Ага, добавляется. Только какие адреса заменяются при NETMAP в построутинге: источника или назначения? В любом случае у меня не заработало.

> Если исходная сеть имеет ту же маску что и указанная в NETMAP то как раз получится маппинг один к одному.
Я так и понял.

> Чтобы все корректно работало нужны записи и в POSTROUTING и PREROUTING, иначе будет работать в одну сторону.
Да-да, я понимаю, но как это сделать? Входящие пакеты, например, можно через NETMAP.
Ну а как грамотно подменить адрес источника для исходящих из x.y.1.192/27 пакетов?

Полагаю, как-то так
iptables -t nat -I PREROUTING -d x.y.42.192/27 -j NETMAP --to x.y.1.0/24
iptables -t nat -I POSTROUTING -s x.y.1.192/27 -j NETMAP --to x.y.42.0/24

а почему .192/27 мапится в .0/24?

--to address[/mask]
Network address to map to. The resulting address will be constructed in the following way: All 'one' bits in the mask are filled in from the new ‘address'. All bits that are zero in the mask are filled in from the original address.

Это значит, что первые 24 бита будут взяты из --to, а последние 8 — из исходного адреса.

Учитывая, что первые два бита в последнем байте у них все равно одни и те же — это не принципиально.

попробовал вот так:
> iptables -t nat -I PREROUTING -d x.y.42.192/27 -j NETMAP --to x.y.1.192/27
> iptables -t nat -I POSTROUTING -s x.y.1.192/27 -j NETMAP --to x.y.42.192/27

результат: пинги [до любого фейкового адреса] не проходят; трейс первым же прыжком находит, но на этом не останавливается, продолжает работать, причём последующие прыжки уже ничего не находят.
(по логике вещей первым прыжком в трейсе должен найтись шлюз)

сдаётся мне, что NETMAP в построутинге не заменяет адрес источника пакета [а заменяет что-то другое]

сдаётся мне, что NETMAP

tcpdump тебе мама не разрешает запускать?

sdio, спрашиваю, как у человека, юзавшего эту штуку на практике: я правильно сформулировал правила http://www.linux.org.ru/jump-message.jsp?msgid=4150275&cid=4150894?

А как у тебя дела с роутингом? Маршрут на x.y.42.192/27 прописан на правильный интерфейс? (а то может идёт по дефолтному, который торчит не в ту сторону)
Ибо netmap не даёт автоматом нужный маршрут.

Если не разобрался то покажи выводы команд:
ifconfig
iptables -vnL
iptables -t nat -vnL
route -n