iptables: Внутренние отличия SNAT и MASQUERADE?

В NAT адрес задаётся статически (в скрипте, параметрах...), а MASQUERADE берёт адрес у интерфейса (динамически). NAT используют при постоянном конекте, MASQUERADE при диалапе.

А если идти через второй, то с каким src адресом уходят пакеты ?

Была недавно несколько похожая проблема - SNAT работал (т.к. адрес был задан явно), а MASQUERADE - нет (точнее было похоже, что меняло адрес сам на себя, т.е. запутывалось с тем, с какого интерфейса нужно брать адрес).

При MASQUERADE берется адрес того интерфейса с которого должен уйдти пакет. При этом не принимаються во внимание расширенные правила маршрутизации. В общеем он берет из таблицы маршрутизации первую запись. Обычно эта запись которая была занесена в таблицу первой.

Я ту тему видел, но у меня вроде чуть иначе - пакеты вообще в рельсу уходят :) Т.е. я вижу их на внутреннем интерфейсе и больше нигде.

>При MASQUERADE берется адрес того интерфейса с которого должен уйдти пакет

Не очень понятная фраза, что есть "должен"? :)

>В общеем он берет из таблицы маршрутизации первую запись. Обычно эта запись которая была занесена в таблицу первой.

Да, очень на то похоже.

опция -o в iptables позволяет же фильтровать по выходному интерфейсу ну вот здесь тоже самое только береться ip адрес выходного интерфейса с учетом НЕ расширенной таблицы маршрутизации

Ясно, спасибо.

> только береться ip адрес выходного интерфейса
И откуда ж он берется ? Из служебной информации, сопровождающей пакет во время обработки ядром (прохождения по правилам firewall-а, маршрутизации, etc) ? Если так, то там уже должен быть _правильный_ исходящий интерфейс - с учетом РАСШИРЕННОЙ маршрутизации, т.к. MASQUERADE выполняется после принятия решения о маршрутизации.