Do not MASQ or NAT packets to be tunneled
If you are using IP masquerade or Network Address Translation (NAT) on either gateway, you must now exempt the packets you wish to tunnel from this treatment. For example, if you have a rule like:
# iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE
change it to something like:
# iptables -t nat -I POSTROUTING -o eth0 -s 10.0.0.0/24 -d ! 172.16.0.0/24 -j MASQUERADE
or use passthrough rule
# iptables -t nat -I POSTROUTING 1 -o eth0 -s 10.0.0.0/24 -d 172.16.0.0/24 -j RETURN/ACCEPT
or use policy matching !
with iptables 1.3.5 and a Linux kernel > 2.6.15, IPsec policy matching developed by Patrick McHardy was introduced into Linux Netfilter, changing the behaviour of NAT rules in regard to IPsec tunnels. If you e.g. have a general NAT rule for mapping internal addresses to the external interface and want to exempt tunneled traffic from NAT then you must insert an IPsec policy matching rule in front of the SNAT or MASQUERADE rule in the POSTROUTING chain. This is what I'm doing on my productive system:
# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere policy match dir in pol ipsec mode tunnel
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere policy match dir out pol ipsec mode tunnel
MASQUERADE all -- 10.0.0.0/24 anywhere
# iptables -t nat -I PREROUTING -m policy --dir out \
--pol ipsec --mode tunnel -j ACCEPT
# iptables -t nat -I POSTROUTING -m policy --dir in \
--pol ipsec --mode tunnel -j ACCEPT
This may be necessary on both gateways.
get xt_policy's help info
# iptables -m policy --help
分享到:
相关推荐
在这个主题中,“snat.rar_JIRZ_SNAT实现方法_VQW_vpp_feature_snat”涉及到SNAT的实现,特别是与JIRZ、VQW和vpp_feature_snat相关的实现细节。 JIRZ可能是项目或组织的缩写,而VQW可能是特定的硬件平台或软件组件...
基于阿里 lvs-v2 开发的SNAT网关,类似 iptables SNAT 功能,性能非常好,性能相对iptables提升80%以上。 特性: 支持源ip、目的ip、出口网卡、下一跳网关匹配,规则优先级匹配按照网络地址掩码位数由大到小 ...
**SNAT(源网络地址转换)**是一种网络技术,用于在内部网络与外部网络之间进行通信时转换IP地址。在企业或组织网络中,当内部网络的设备想要访问外部网络(比如互联网)时,SNAT允许这些设备共享一个或多个公共IP...
"基于Linux操作系统的SNAT策略.pdf" 本文档主要讨论基于Linux操作系统的SNAT策略,解决企业面临的IP地址资源匮乏问题。SNAT策略主要应用在局域网共享上网接入的方面,通过Iptables命令实现Source Network Address ...
在虚拟化领域,VMware 提供了一种强大的网络功能,即源网络地址转换(Source Network Address Translation,简称 SNAT)和目的网络地址转换(Destination Network Address Translation,简称 DNAT),这两种技术在...
F5配置SNAT实例[收集].pdf
详见阐述了SNAT搭建的实验步骤,每一步都有截图,详情见Word
配置案例_源地址转换SNAT 配置案例_源地址转换SNAT 配置案例_源地址转换SNAT 配置案例_源地址转换SNAT
iptables、SNAT和DNAT实验
关于拿linux系统当路由器做NAT用的。
F5配置SNAT实例.pdf
标题中的“netfilter 五个钩子点实现SNAT和DNAT的方案”指的是在Linux内核的网络包过滤框架netfilter中,通过五个不同的钩子点来实现源网络地址转换(Source Network Address Translation, SNAT)和目的网络地址转换...
以实验“Linux防火墙配置-SNAT1”为基础,为网关增加外网IP地址,为eth1创建虚拟接口,使外网测试主机在Wireshark中捕获到的地址为eth1虚拟接口的地址 (Linux防火墙配置-SNAT1:Linux防火墙配置SNAT教程(1) ...
ISA 2006 防火墙的部署 ISA 2006是一款企业级路由防火墙,它分为标准版和企业版,标准版部署简单,适用于中小企业使用。企业版引入了配置存储服务器,适用于大型企业。 ISA 的代理服务支持三种客户端:...SNAT客户端。
### F5核心组件详解:VS, Profile, iRules, Pool 和 SNAT #### 一、虚拟服务器 VS (Virtual Server) **定义与作用** - **定义**:VS 是指虚拟服务器,它是 BIG-IP 设备接收并处理外部流量的入口点。VS 的配置包括 ...
采用VMware虚拟机技术进行计算机辅助教学,在一台PC机上安装多个虚拟操作系统,比如Windows、Linux系统等,可以很好地搭建Linux安全相关课程的教学环境。
主要为大家详细介绍了Linux防火墙配置SNAT教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
钠离子依赖的中性氨基酸转运蛋白2( SNAT2)属于SLC38家族,参与小的中性氨基酸跨膜转运,在哺乳动物组织中广泛表达.SNAT2的功能紊乱可以导致许多神经性疾病,如阿尔茨海默症、帕金森症等.采用PCR方法扩增得到SNAT2氨基端...