IP Masquerading

Jan Kasprzak kas na ics.muni.cz
Úterý Leden 21 18:25:14 CET 1997 

: 
: Pocitac ktery slouzi jako maskovatko je z jedne strany pripojen do 
: ethernetu a na druhe strane ma povesene modemy pro jednotlive pobocky. 
: Ty jsou prez lokalni ustrednu pripojene furt a maji pridelene adresy 
: 192.168.x.0/24. Ethernet karta ma nekolik alias IP adres (treba 
: a.b.c.1, a.b.c.2 ...). Ja bych to chtel zaridit tak, aby pozadavky na 
: adresu treba a.b.c.2 se predaly na pocitac 192.168.1.10, pozadavky na 
: adresu a.b.c.3 na pocitac 192.168.2.13 a podobne. Idealni by bylo, kdyby 
: se dalo omezit, ze to propusti jen port rekneme 80 a ostatni vrati 
: (reject). Bylo by mi celkem jedno, jestli spojeni z pocitace 192.168.2.13 
: by se tvarilo jako z a.b.c.1 nebo z a.b.c.3, dulezite pro me je, aby se 
: ty adresy prekaldaly zvnejsku dovnitr. Jestli nekdo vi jak se to dela 
: (jakou kombinaci ipfwadm parametru pouzit) tak budu vdecny.
: 
	V te podobe, jak je to tady naznaceno, to umi pouze obecne prepisovani
IP hlavicek, ktere jeste neni v oficialnim kernelu (pokud vim). Ale
cela vec by se dala asi resit daleko jednoduseji:

	Podle meho nazoru by slo nastavit na eth0 proxy arp
pro adresy a.b.c.{1,2,...} (prikaz /sbin/arp -s ... nebo volba
proxyarp u pppd) a nastavit v routovaci tabulce, ze tyto adresy by
se mely routovat na modemy (ppp0 az ppp2, predpokladam) -- coz
pppd udela automaticky.

	Vzdalenym koncum PPP linek bych pridelil adresu a.b.c.{1,2,3},
takze vse, co by slo ven, by se tvarilo jako a.b.c.{1,2,3}.
Forwardovani pro port 80 bych udelal takto:

	/sbin/ipfwadm -F -a accept -S 0.0.0.0/0 -D a.b.c.1/32 80 -W ppp0
	/sbin/ipfwadm -F -a accept -S a.b.c.1/32 80 -D 0.0.0.0/0 -W ppp0
	/sbin/ipfwadm -F -a reject -S 0.0.0.0/0 -D a.b.c.1/32 -W ppp0
	/sbin/ipfwadm -F -a reject -S a.b.c.1/32 -D 0.0.0.0/0 -W ppp0

	A tak dale pro vsechny a.b.c.X.

	Mozna jsem dobre nepochopil topologii vasi site nebo vase
pozadavky. Pokud je to tak, upresnete, co potrebujete.

-Yenya

-- 
Jan "Yenya" Kasprzak <kas na fi.muni.cz>            http://www.fi.muni.cz/~kas/
[[[[                      ^^^ Please note my new address.               ]]]]
[[[[      Czech Linux Homepage:  http://www.fi.muni.cz/~kas/linux/      ]]]]
``Hoping the problem  magically goes away  by ignoring it is the  "microsoft
approach to programming"  and should never be allowed.''    --Linus Torvalds

Další informace o konferenci Linux