Однострочник для NAT

• Подавляющее большинство Интернет-клиентов и сервисов не имеет публичных Интернет-адресов и подключается к Интернет-ресурсам через маршрутизаторы с поддержкой NAT (т.н. «трансляции сетевых адресов»).
• Linux предоставляет для организации NAT на маршрутизаторе несколько вариантов, в т.ч. модули файрволла iptables — SNAT (“source NAT”) и masquerading.
• В большинстве случаев используется маскарадинг, т.к. по сравнению с SNAT (а) настраивается более короткой командой и (б) умеет автоматически отслеживать изменение собственного IP-адреса маршрутизатора (например, если маршрутизатор получает IP-адрес динамически от вышестоящего провайдера).
• SNAT имеет смысл из-за более высокой производительности, если сетевые настройки неизменны.
• Ниже мы показываем, что SNAT при некотором желании и навыке тоже настраивается в одну строку, причём необходимые для настройки параметры читаются из системы в этой же строке.

Команда разбита на несколько строк для вашего удобства:

ip r g 1 | awk '$4 == "dev" && $6 == "src" { printf(
"iptables -t nat -C POSTROUTING -o %s -j SNAT --to-source %s 2>/dev/null ||\niptables -t nat -A POSTROUTING -o %s -j SNAT --to-source %s\n",
$5, $7, $5, $7); exit; }' | sh

Расшифровка:

• Современная сетевая подсистема Linux, носящая имя собственное iproute2 и принадлежащая перу нашего великого соотечественника ANK, предоставляет пользователю набор команд, намного превосходящий традиционный.
• В частности, входящая в неё утилита “ip” умеет показывать не только общий список маршрутов, но и по какому маршруту и с какими параметрами ядро отправит пакет для указанного получателя.
• Таким образом, указав ей любой IP-адрес из внешней Сети (например, “1.0.0.0”), мы узнаем (а) имя нашего внешнего сетевого интерфейса и (б) его IP-адрес, например:

$ ip route get 1.0.0.0
1.0.0.0 via 100.200.0.1 dev eno1 src 100.200.0.33 uid 1000
    cache

• iproute2 позволяет сокращать и имена параметров, и значения, поэтому скучная предыдущая команда превращается в истинно красноглазную “ip r g 1”.
• awk ищет в её выводе строку с именем сетевого интерфейса и IP-адресом отправителя “dev ... src ...”, обрабатывает её и сразу завершается.

Задача awk:

• Полученные значения мы должны подставить в команды настройки iptables.
• Проблема в том, что (а) эти значения должны подставляться в разные места строки вызова и (б) для защиты от повторного добавления желательно вызывать iptables дважды — сначала с ключом “-C” для проверки, что такое правило ещё отсутствует, и затем с “-A” для его создания:

iptables -C параметры... 2>/dev/null || iptables -A такиежепараметры...

• Поэтому имеет смысл полностью сформировать всю команду внутри awk через printf(), а полученный результат передать на вход интерпретатора команд, который их и выполнит.