Итак, сам дошел, как же это работает.
В логах DFL-210 никакой информации на какие адреса происходят подмены, нет!
Поэтому я попросту просматривал соединения в веб-интерфейсе того самого вайфая, чтобы понять с какого адреса я на него зашел.
напомню правила:
Код:
Name Action Source_interface Source_network Destination_interface Destination_network Service
1 wifi_sat_dest SAT wan all-nets core wan_ip alt_http (вкладка SAT адрес_назначения wifi_IP порт 80)
2 wifi_sat_src SAT wan all-nets core wan_ip alt_http (вкладка SAT адрес источника LAN_IP)
3 wifi_allow Allow wan all-nets core wan_ip alt_http
Если в качестве источника указано
all-nets (как в приведенном примере в правиле 2, с подменой адреса источника), то DFL-210 подменяет(транслирует) IP источника так:
Берет первое число адреса источника плюс первое число адреса, указанного в правиле для подмены IP и получает первое число IP адреса, который в реальности использует для подмены.
Если число получается больше 256, то минус 256
например я захожу с адреса 2.15.27.248 а указал в правиле подменять адресом 192.168.1.100, роутер заменит ip источника
на 194.183.28.92 как видим совершенно левый адрес, не тот который я указал (192.168.1.100)
При таком раскладе мой вайфай видел входящее подключение с адреса 194.183.28.92, принимал меня (я логинился на вайфае) и ответы с помощью маршрута по умолчанию, который я в него прописал ранее, слал
на адрес шлюза, т.е. назад в DFL-210. Роутер, в свою очередь, возвращал пакетам обратно нормальный адрес, в качестве адреса назначения для ответов.
Так это и работало. т.е. все три правила срабатывали нормально, только адреса кривые использовались во втором правиле.
Если в качестве источника пакетов (
во 2 правиле) указать один единственный адрес, и, естественно, (иначе правило не сработает) с него же заходить, то подмена будет происходить в точности на тот адрес который был указан, без всякой арифметики. т.е. нормальное "один к одному"
Если в качестве источника (
опять я говорю о 2 правиле) указать диапазон через дефис, например 2.15.27.245-2.15.27.248 а адрес подмены указать к примеру 192.168.1.50
то при заходе с 2.15.27.245 , подменится на 192.168.1.50
с 2.15.27.246 , подменится на 192.168.1.51
с 2.15.27.247 , подменится на 192.168.1.52
т.е. получаем правило "многие ко многим" если не ошибаюсь....
В русском мануале на DFL описано подробно destination SAT, а source SAT обошли стороной. А кое в чем они работают по разному. Я имею ввиду в деталях.
Понятное дело что SAT подмена IP источника, и SAT подмена IP назначения принципиально разные вещи.
Ну и собственное любопытство я удовлетворил. SAT источника один к одному, в некоторых случаях, можно использовать в качестве подмены динамического NAT.
PS. те кто будет пользоваться этим постом как руководством, адреса источника нужно еще в ARP интерфейсах прописать.
Я так делал по крайней мере, и в руководстве тоже про это написано.