
NSG Linux 
16-07-2007

Новые возможности:

NAT

	nat destination <access-list (1..32000 | any) > <prio 1..32000> IP1 <IP2>  <to-port PO1<PO2>>
	no nat destination prio  1..32000
	nat source <access-list (1..32000 | any) > <prio 1..32000> ( masquerade | IP1 <IP2>)  
	nat masquerade <access-list (1..32000 | any) > <prio 1..32000>
	no nat source prio  1..32000

	access-list (опциональный)указывает на номер аксесс листа в NSG ветви либо any. По умолчанию используется значение <any> , что означает что весь трафик будет натирован. Если предполагается натирование с трансляцией портов то ОБЯЗАТЕЛЬНО  чтобы аксесс лист был типа ext и в каждом permit правиле сдержал указание протокола UDP либо TCP. 
	prio (опциональный) указывает приоритет правила трансляции в группе source или destination, по умолчанию правило цепляется в хвост списка. Параметр prio автоматически смещается для всех последующих правил  при внедрении/удалении правила внутри группы. 
	<nat masquerade>  -  команда для обратной совместимости - синоним для <nat source masquerade>
	
	Диапазон ip адресов и портов задается одним или двумя адресами.

	Правил может быть много, все они разбиваются на две группы(source и destination) которые отрабатываются независимо на выходе и на входе соответственно.
	Если правил в группе(сорс/дестинэйшн) несколько то натирование происходит однажды, при первом подпадании в аксес-слист правила в порядке приоритета.
	После окончательной настройки NAT|SWITCH| рекомендуется перезагрузить устройство для удаления пустых цепочек правил.

	 access-list  ext-ip 103
	    add 1 permit tcp any any
	    exit
	  tunnel  ip 1
	    destination-ip 10.0.0.2
	    ip address 192.168.0.1/24
	    nat source prio 1 access-list 103 5.6.7.8
	    nat source prio 2 masquerade
	    nat destination prio 1 access-list 103 4.3.2.1 4.3.2.255 to-port 8000 9000
	    nat destination prio 2  4.3.2.1	
	    exit

SWITCH

	switch  <access-list (1..32000 | any) > <prio 1..32000>  to-interface WORD <gateway IP> <continue>
	switch  <access-list (1..32000 | any) > <prio 1..32000>  <gateway IP> <tee>

	access-list и prio аналогично в NAT.

	Перебрасывает(маршрутизирует) пакеты пришедшие на данный интерфейс в другие интерфейсы. Можно указать имя интерфейса и/или адрес шлюза. При указании параметра tee перебрасывается только копия пакета, а основной пакет обычным образом обслуживается в роутере, в том числе он проходит все последующие правила. Переброшеный пакет НЕ проходит натирования и фильтрации, TTL уменьшается на 1.

	Порядок обслуживания тразитного пакета:
	IN->SWITCH ->DNAT->(классическая маршрутизация)->Filter->SNAT->OUT
	
	Если пакет попал под правило SWITCH он попадает в точку OUT.



GRE Keepalive
	в тоннелях GRE появился новый параметр 
	keepalive 1..32000  retry 1..32000
	keepalive no
	можно задать период и количество попыток.

PPP   
	можно задать метрику для маршрута.
	ppp set-default-route yes <metric 1..255 >