Skjule NAT ved å ikke bruke fw. ip

Fikk det til å fungere.

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to xxx.xxx.xxx.xxx

Ser ut til at dette er alt som skal til.

Ingen nat router har vel egentlig mulighet for dette, nesten pr definisjon. Grunnprinsippet for nat routeren, når den håndterer utgående trafikk, det er jo at den for den utgående trafikken setter sin egen eksterne ip adresse som avsender til pakkene, slik at serveren kan sende returtrafikken til denne ip adressen. Nat routeren sørger da for videre adressering til den riktige lokale adressen.

Man kan selvfølgelig sette på feil (forkert) avsender ip, men det vil jo få den effekt at man ikke får noen returtrafikk tilbake og med andre ord .. trafikken kjører ikke.

"Ser for meg at denne ip'en må settes opp som ip alias på wan kortet. Stemmer det?"

Tja, jo man kan jo ha flere ip'er på det eksterne kortet, men hva skulle være hensikten med det ? Det skulle for eksempel være mulig å bruke en ip på det samme kortet for nat forbindelser ut (snat) og en annen ip for server trafikk inn (dnat), men kan dette ha noen særlig fornuftig hensikt ??

Så ikke ditt eget svar.

Jo dette kan da fungere:

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to xxx.xxx.xxx.xxx

Men det forutsetter at xxx.xxx.xxx.xxx er en ekternt tilgjengelig adresse, direkte eller indirekte via en annen router. Dette er ellers et standard oppsett, ikke noe spesielt her ?!

Det var Debian 3 port med dmz ?! Og det var ellers bare sånn delvis på Dansk :-) ?

stemmer det :)

xxx.xxx.xxx.xxx er i samme nett som fw. ip.
Kanskje ikke noen vits å skifte ut NAT source, ikke vet jeg.
Dem som prøver å bryte seg inn i en firewall prøver vell hele ip serien uansett.

Mvh.
Verner

beholder orginalspråket i neste prosjekt, og gir meg ikke ut på noe klipp og lim... :)