Iptables

De Admin -- TALEVAS.

(Différences entre les versions)

Version du 26 février 2008 à 15:34

iptables -t nat -A POSTROUTING -m conntrack --ctstate NEW -j SNAT --to-source xxx.xxx.xxx.xxx

Grégoire Compagnon a écrit : > En fait c'est possible assez facilement avec iptables. Une règle comme ça fait l'affaire : > iptables -t nat -A POSTROUTING -m conntrack --ctstate NEW -j SNAT --to-source 87.98.181.152 > > 87.98.181.152 étant mon ip failover. Ça a pour effet de modifier sur le premier packet l'ip source. Pour la suite, plus de problème..

d'un packet sortant

> L'utilisation du conntrack est importante pour le pas réécrire les packets d'une connexion active (genre le iSCSI :P).

ou reçu

> > Je n'ai testé que rapidement, y a peut être moyen de faire mieux. Il y a peut être des cas problématique avec certaines applications (n'ayant que ssh et lynx sur mon rps, les tests ont été rapide :P). > > > Grégoire

Iptables

Version du 26 février 2008 à 15:34

Affichages

Outils personnels

Navigation

Rechercher

Boîte à outils

@@ Ligne 1 : / Ligne 1 : @@
   iptables -t nat -A POSTROUTING -m conntrack --ctstate NEW -j SNAT --to-source xxx.xxx.xxx.xxx
+Grégoire Compagnon a écrit :
+> En fait c'est possible assez facilement avec iptables. Une règle comme ça fait l'affaire :
+> iptables -t nat -A POSTROUTING -m conntrack --ctstate NEW -j SNAT --to-source 87.98.181.152
+>
+> 87.98.181.152 étant mon ip failover. Ça a pour effet de modifier sur le premier packet l'ip source. Pour la suite, plus de problème..
+d'un packet sortant
+> L'utilisation du conntrack est importante pour le pas réécrire les packets d'une connexion active (genre le iSCSI :P).
+ou reçu
+>
+> Je n'ai testé que rapidement, y a peut être moyen de faire mieux. Il y a peut être des cas problématique avec certaines applications (n'ayant que ssh et lynx sur mon rps, les tests ont été rapide :P).
+>
+>
+> Grégoire