Beispiel:
Code: Alles auswählen
table ip nat {
chain postrouting {
tcp dport 443 ip saddr 192.168.1.1 ip daddr { google.de, debian.de } masquerade comment "HTTPS"
}
}
Hat hier jemand eine Info ob das möglich ist?
Code: Alles auswählen
table ip nat {
chain postrouting {
tcp dport 443 ip saddr 192.168.1.1 ip daddr { google.de, debian.de } masquerade comment "HTTPS"
}
}
Eigentlich sollte es gehen, es ist aber mit Einschränkungen verbunden. Der DNS-Lookup wird genau einmal ausgeführt, nämlich beim Initialisieren der NF-Tabellen. Sollte sich die IP-Adresse später ändern oder man hat es mit Clustern mit vielen IP-Adressen wie Google zu tun, dann landet nur die IP-Adresse in der NF-Tabelle, die beim initialen DNS-Lookup bestimmt wurde.JTH hat geschrieben:30.11.2021 13:10:23Hmm, ohne mich an der Stelle besonders auszukennen rate ich mal: Nein, das geht nicht...
Dann könntest Du die FQDNs die diese IP-Adressen "erzeugen", überwachen (mit einem dns-tool) und die resultierenden IP-Adressen mit ipset verwalten. IP sets kannst Du mit iptables-Regeln (evtl. auch mit nftables) benutzen. D. h. wenn sich im ipset etwas geändert hat, muss die iptables-Regel neu geladen/aktualisiert werden.joe2017 hat geschrieben:30.11.2021 14:58:34In meinem Fall wird es sich um FQDN handeln welche sich in einer Amazon Cloud befinden.
Somit werden sich die IP Adressen öfter einmal ändern.
Das ist zumindest mal ein Ansatz. Die Domains vorher in IP Adressen auflösen und dynamisch als Variable in die nftable eintragen.mat6937 hat geschrieben:30.11.2021 15:23:02Dann könntest Du die FQDNs die diese IP-Adressen "erzeugen", überwachen (mit einem dns-tool) und die resultierenden IP-Adressen mit ipset verwalten. IP sets kannst Du mit iptables-Regeln (evtl. auch mit nftables) benutzen. D. h. wenn sich im ipset etwas geändert hat, muss die iptables-Regel neu geladen/aktualisiert werden.