La cible SAME fonctionne à peu près comme SNAT, mais diffère légèrement. À la base, SAME tentera d'utiliser la même adresse IP en sortie pour toutes les connexions initiées par un hôte sur le réseau. Par exemple, vous avez un réseau en /24 (192.168.1.0) et 3 adresses IP (10.5.6.7-9). Maintenant, si 192.168.1.20 sort de l'adresse .7 une première fois, le pare-feu tentera de conserver à cette machine toujours la même adresse IP.
Tableau 11. Optiond de la cible SAME
Option | --to |
Exemple | iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -j SAME --to 10.5.6.7-10.5.6.9 |
Explication | Comme vous pouvez le voir, l'argument --to prend deux adresses IP liées ensemble par un -. Ces adresses IP, et toutes les autres entre, sont des adresses que nous NATons pour utiliser l'algorithme SAME. |
Option | --nodst |
Exemple | iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -j SAME --to 10.5.6.7-10.5.6.9 --nodst |
Explication | Au cours d'une action normale, la cible SAME calcule le suivi de connexions basé sur les adresses IP source et destination. L'option --nodst, permet de n'utiliser que l'adresse IP source pour savoir de quelle IP la fonction NAT se sert pour la connexion spécifique. Sans cet argument, elle utilise une combinaison de l'adresse IP source et destination. |
Fonctionne avec les noyaux Linux 2.5 et 2.6. |
Précédent | Sommaire | Suivant |
Cible RETURN | Niveau supérieur | Cible SNAT |