Можно ли изменить порт назначения UDP-пакета с помощью iptables?
Я пытаюсь заставить агент SNMP отправлять ловушки на 1620 вместо 162. К сожалению, пока мне удалось изменить только порт источника:
iptables -t nat -A ПОСТРОУТИРОВАНИЕ -p udp --dport 162 -j SNAT --to: 1620
Очевидно, такое использование не поддерживается. Взято из http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO.txt:
6.3.7. Изменение места назначения для локально созданных подключений
Код NAT позволяет вставлять правила DNAT в цепочку OUTPUT, но
это не полностью поддерживается в 2.4 (это может быть, но для этого требуется новый параметр конфигурации
, некоторое тестирование и немного кода. , так что, если кто-то не закажет Расти написать его, я бы не ожидал этого в ближайшее время).Текущее ограничение состоит в том, что вы можете изменить место назначения только на локальную машину (например, `j DNAT --to 127.0.0.1 '), но не на любую другую машину, иначе ответы не будут переведены правильно.
Предполагая, что вы знаете, на какую машину отправляете:
iptables -t nat -A OUTPUT -p udp --dport 162 -j DNAT --to-destination <dest-ip>:1620
вы можете перенаправить 162 на 1620
iptables -t nat -A PREROUTING -p UDP --dport 162 -j REDIRECT --to-port 1620
@PiedPiper был прав. С DNAT вы должны указать IP-адрес, но мы хотим только перенаправить порт, поэтому -j REDIRECT может работать в этом случае.
См. http://www.netfilter.org/documentation/HOWTO//NAT-HOWTO-6.html#ss6.2
Вместо того, чтобы делать SNAT, попробуйте DNAT. Исходный порт изменяется, потому что SNAT означает SourceNAT, поэтому DNAT подойдет вам.
Вы можете настроить правило переадресации, а затем повторно ввести пакет с измененным портом.
Я делал это некоторое время назад в Mac OS X, но тот же принцип в Linux: http://blog.dv8.ro/2006/08/using-divert-sockets-on-mac-os-x.html
По сути, вам нужно создать очень простой прозрачный прокси.
