IPsec, FreesWan a Masquerade

[Zdenek Kaminski]

On Thu, 6 Jun 2002, Zdenek Kaminski wrote:

> On Thu, 6 Jun 2002, Michal Nosek wrote:
> 
> > Ing. Pavel PaJaSoft Janousek wrote:
> > 
> > > Zdenek Kaminski wrote:
> > >> Pokud to nebude v elaboratu  :-), muzete prosim napsat, ve kterych
> > >> pripadech nelze maskaradu pouzit? Teda ja si to na jejich webu necetl,
> > >> protoze mi zatim vse (asi haluzove) fungovalo; a to maskaraduji jak
> > >> vztekly...
> > > 
> > > To Vam prave zabezpecuje left|right firewall = yes... - pridava
> > > pravidla do FORWARD chainu, aby obesel jakekoli dalsi pravidla (vcetne
> > > masquerade)...
> > 
> > Ja používám SuSEfirewall2 a do _updown jsem napsal toto:
> > up-client:)
> >         # connection to my client subnet coming up
> >         # If you are doing a custom version, firewall commands go here.
> >         iptables -I FORWARD 1  -s $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
> >                 -d $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
> >         iptables -I FORWARD 1  -d $PLUTO_MY_CLIENT_NET/$PLUTO_MY_CLIENT_MASK \
> >                 -s $PLUTO_PEER_CLIENT_NET/$PLUTO_PEER_CLIENT_MASK -j ACCEPT
> 
> A tady bych jeste pridal nasledujici radky:
> ip route del "$PLUTO_PEER_CLIENT"
> ip route add "$PLUTO_PEER_CLIENT" src _vase_vnitrni_ip_adresa_ \
>          dev "$PLUTO_INTERFACE" via "$PLUTO_NEXT_HOP"
> 
> a je to. Pak muzete, pokud to je povoleno ve firewallu, pingat z routeru
> do vnitrni site na druhe strane tunelu, samozrejme vcetne IP adresy z
> vnitrni site onoho routeru na druhe strane!
> 
> Ale jak uvadim v predchozim prispevku, zrovna ja tady misto
> -j ACCEPT pouzivam -j MASQUERADE...

samozrejme v tabulce nat a pravidle POSTROUTING...
FORWARD mam povolen vsude z nejakych duvodu...


---------------------------------------------------------------------------
Bc. Zdenek Kaminski <xkaminsk at fi.muni.cz>

homepage: http://www.fi.muni.cz/~xkaminsk/
IPv6 router homepage: http://merlot.ics.muni.cz/