DNAT für ein gesamtes Netz

**Cerox** · 10.09.07, 16:09

Hallo zusammen,

ich habe DNAT folgendermaßen testweise für eine IP eingestellt:

Code:

/sbin/iptables -t nat -A PREROUTING -i tun0 -d 172.30.0.2 -j DNAT --to 172.20.0.2

Das funktioniert auch wunderbar, ich möchte aber dass das gesamte 172.30er Netz zu 172.30.0.0 geNATet wird.

Laut der Dokumentation von netfilter.org (steht zumindest beim SNAT dort so; beim DNAT wird auf diesen Fall nicht eingegangen), kann man für den Parameter --to (beim DNAT scheinbar nicht) auch ein Netz in Form von "172.20.0.0/16" oder "172.20.0.0/255.255.0.0" angeben.

Wenn ich das allerdings mache, meckert er, dass diese IP-Adresse nicht zulässig sei.

Kann mir jemand sagen, wie ich das gesamte Netz in einer Regel anspreche?

**403** · 10.09.07, 19:37

1. Was ist denn die _genaue_ Fehlermeldung?

2.

Zitat von Debian4-manpage

--to-destination [ip-address]- [ipaddress]
"An inclusive range of IP adresses"

hoert sich fuer mich so an als solltest du mal die erste und die letzte Adresse aus dem Netz spezifizieren. Warum Netzmasken nicht gehen erscheint mir allerdings schleierhaft.

**Cerox** · 11.09.07, 11:13

hoert sich fuer mich so an als solltest du mal die erste und die letzte Adresse aus dem Netz spezifizieren. Warum Netzmasken nicht gehen erscheint mir allerdings schleierhaft.

Habe ich schon versucht, d.h. als Destination habe ich 172.20.0.1-172.20.255.254 angegeben; dann gibt es keine Fehlermeldung, es funktioniert jedoch nicht und ein anderer Client, der Adressen aus dem 172.30er Netz erreichen möchte, bekommt ein Timeout.

Die genaue Fehlermeldung kann ich jetzt nicht nachschauen, jedoch sagt er, dass die Syntax dieser Angabe (mit Netzadresse und SNM) so nicht stimmt.

**simu** · 11.09.07, 16:21

probiers mal mit NETMAP, das ist dafür gemacht.
iptables -t nat -A prerouting -d 172.30.0.0/16 -j NETMAP --to 172.20.0.0/16
iptables -t nat -A postrouting -d 172.20.0.0/16 -j NETMAP --to 172.30.0.0/16
(btw, hier ein Link zu einem sehr guten Buch http://www.os-t.de/buecher_new.php)