---

Hejsa

Måske denne post er sendt til den forkerte news-gruppe, men nu prøver vi

Nogen der kender til 1-to-1 NATning med Iptables (eller andet) ?
måske med en timeout på den eksterne IPadresse ?

Grunden til jeg spørger skyldes jeg er på udkig efter en Linux/BSD NAT-box,
som kan
kører istedet for min Cisco router. Selve setup'et er lidt specielt, men
fungere faktisk perfekt.

Jeg har x-antal eksterne IPadresser routere til mig (128 stk f.eks.) hvor
nogle bliver NATet til
faste interne private adresser, altså statisk 1-to-1 NATning. Derudover har
jeg, af poolen, nogle
eksterne IPadresser som bliver NATet til en dynamisk intern IPadresse, men
stadig 1-to-1,
dog med en timeout på 3min. Dette resulter i at den eksterne IPadresse
bliver droppet
efter 3 min, NATsessionen bliver deleted,
men dermed undgår vi at køre PAT eller overload (Cisco sprog) på adresserne.

Jeg smidder lige noget Cisco config, kan være nogen kan tolke det lidt bedre
:
-----------
ip nat translation timeout 300
ip nat pool min-nat-pool <ipadresse range start> <ipadresse range slut>
netmask 255.255.255.128
ip nat inside source list 1 pool min-nat-pool

ip nat inside source static 10.0.0.1 100.100.100.101
ip nat inside source static 10.0.0.2 100.100.100.102

access-list 1 deny 10.0.0.1
access-list 1 deny 10.0.0.2
access-list 1 permit 10.0.0.0 0.0.0.128
-----------

Jeg har set at iptables har et option der hedder NETMAP, som ser meget
interessant ud :
iptables -t nat -A PREROUTING -d 1.2.3.0/24 -j NETMAP --to 5.6.7.0/24

Nogen der kender mere til denne option eller et godt bud på hvordan sådan en
fw-script skulle sættes op ?

mvh

Martin Damberg