IPsec, FreesWan a Masquerade
Zdenek Kaminski
xkaminsk na fi.muni.cz
Čtvrtek Červen 6 13:36:51 CEST 2002
On Thu, 6 Jun 2002, Michal Nosek wrote:
> Ing. Pavel PaJaSoft Janousek wrote:
>
> > Zdenek Kaminski wrote:
> >> Pokud to nebude v elaboratu :-), muzete prosim napsat, ve kterych
> >> pripadech nelze maskaradu pouzit? Teda ja si to na jejich webu necetl,
> >> protoze mi zatim vse (asi haluzove) fungovalo; a to maskaraduji jak
> >> vztekly...
> >
> > To Vam prave zabezpecuje left|right firewall = yes... - pridava
> > pravidla do FORWARD chainu, aby obesel jakekoli dalsi pravidla (vcetne
> > masquerade)...
>
> Ja používám SuSEfirewall2 a do _updown jsem napsal toto:
> up-client:)
> # connection to my client subnet coming up
> # If you are doing a custom version, firewall commands go here.
> iptables -I FORWARD 1 -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
> -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
> iptables -I FORWARD 1 -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
> -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
A tady bych jeste pridal nasledujici radky:
ip route del "$PLUTO_PEER_CLIENT"
ip route add "$PLUTO_PEER_CLIENT" src _vase_vnitrni_ip_adresa_ \
dev "$PLUTO_INTERFACE" via "$PLUTO_NEXT_HOP"
a je to. Pak muzete, pokud to je povoleno ve firewallu, pingat z routeru
do vnitrni site na druhe strane tunelu, samozrejme vcetne IP adresy z
vnitrni site onoho routeru na druhe strane!
Ale jak uvadim v predchozim prispevku, zrovna ja tady misto
-j ACCEPT pouzivam -j MASQUERADE...
Teda MNE to pak funguje tak, jak chci! Se spravnymi adresami, bla bla
bla...
---------------------------------------------------------------------------
Bc. Zdenek Kaminski <xkaminsk at fi.muni.cz>
homepage: http://www.fi.muni.cz/~xkaminsk/
IPv6 router homepage: http://merlot.ics.muni.cz/
Další informace o konferenci Linux