11.21. SAMEターゲット

SAME ターゲットの働きはほぼ SNAT ターゲットに近いが、少々違いがある。 SAME ターゲットは、固有のホストの開始したコネクションに対して、常に決まった外部 IPアドレスを使おうとするのだ。例えば、ここに /24 のネットワーク (192.168.1.0) と 3つの IPアドレス (10.5.6.7-9) があるとしよう。そこで 192.168.1.20 が当初、 .7 というアドレスを使って外へ出たならば、ファイヤーウォールは以後このマシンには同じ IPアドレスを使って出て行かせようとするのだ。

Table 11-15. SAMEターゲットオプション

オプション--to
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -j SAME --to 10.5.6.7-10.5.6.9
説明ご覧のように、 --to ステートメントは "-" で結んだふたつの IPアドレスを引数に採る。これらの IPアドレス及びその間に挟まれた全てのアドレスが、 SAME のアルゴリズムによって NAT で振り向ける IPアドレスとなる。
オプション--nodst
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -j SAME --to 10.5.6.7-10.5.6.9 --nodst
説明SAME ターゲットの通常の動作では、関連する後続のコネクションは宛先 IP と送信元 IP の両方を基にして割り出される。 --nodst を使用することによって、 NAT の際に件の IP を使うべきかどうかは、送信元 IPアドレスだけで判断するようになる。このステートメントを使わない場合には、判断は宛先 IP と送信元 IP の組み合わせを基に行われる。

Note

Linux カーネル 2.5, 2.6 で機能する。