IPsec, FreesWan a Masquerade

[Zdenek Kaminski]

On Thu, 6 Jun 2002, Michal Nosek wrote:

> Ing. Pavel PaJaSoft Janousek wrote:
> 
> > Zdenek Kaminski wrote:
> >> Pokud to nebude v elaboratu  :-), muzete prosim napsat, ve kterych
> >> pripadech nelze maskaradu pouzit? Teda ja si to na jejich webu necetl,
> >> protoze mi zatim vse (asi haluzove) fungovalo; a to maskaraduji jak
> >> vztekly...
> > 
> > To Vam prave zabezpecuje left|right firewall = yes... - pridava
> > pravidla do FORWARD chainu, aby obesel jakekoli dalsi pravidla (vcetne
> > masquerade)...
> 
> Ja používám SuSEfirewall2 a do _updown jsem napsal toto:
> up-client:)
>         # connection to my client subnet coming up
>         # If you are doing a custom version, firewall commands go here.
>         iptables -I FORWARD 1  -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
>                 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
>         iptables -I FORWARD 1  -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
>                 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT

A tady bych jeste pridal nasledujici radky:
ip route del "$PLUTO_PEER_CLIENT"
ip route add "$PLUTO_PEER_CLIENT" src _vase_vnitrni_ip_adresa_ \
         dev "$PLUTO_INTERFACE" via "$PLUTO_NEXT_HOP"

a je to. Pak muzete, pokud to je povoleno ve firewallu, pingat z routeru
do vnitrni site na druhe strane tunelu, samozrejme vcetne IP adresy z
vnitrni site onoho routeru na druhe strane!

Ale jak uvadim v predchozim prispevku, zrovna ja tady misto
-j ACCEPT pouzivam -j MASQUERADE...

Teda MNE to pak funguje tak, jak chci! Se spravnymi adresami, bla bla
bla... 




---------------------------------------------------------------------------
Bc. Zdenek Kaminski <xkaminsk at fi.muni.cz>

homepage: http://www.fi.muni.cz/~xkaminsk/
IPv6 router homepage: http://merlot.ics.muni.cz/