IPsec, FreesWan a Masquerade
Zdenek Kaminski
xkaminsk na fi.muni.cz
Pátek Červen 7 10:25:09 CEST 2002
> >
> > A tady spekulace nejhrubsiho zrna: Jak se tady jadro
> > rozhodne, kterou adresu pouzije pro maskaradovani? No nevim,
> > ale kdyz jsem provedl vyse uvedene dva ip route.. prikazy,
> > tak se rozhodl pro svou vnitrni ip adresu. Tohle by mi mohl
> > nekdo osvetlit, pac zdrojaky cist nebudu. Verim, ze kdyz bych
> > misto MASQUERADE pouzil SNAT a tam napsal, jakou ze adresu to
> > ma pouzit, tak nespekuluji a vyse uvedene prikazy ip route by
> > mozna byly zbytecne. Zase, jestli mohu SNATovat na cokoliv,
> > na co se mi zachce, je druha otazka...
>
> IMHO mozte, ale co na to vasa GW ? Takze vysledok je ...
>
Hmm, z GW by problem byt nemel, rekl bych, ze ji prijde paket z jednoho
interface a ona ho preroutuje do druheho interface. Otazka je, zda by mi
pak takovy paket dosel zpatky, ze ano...
> > No a pote co ma jadro paket upraveny maskaradou, tak v
> > routovaci tabulce zjisti, ze to ma jit do ipsec0 a tak ho tam
> > posle. A pak to prevezme ipsec a zjisti, ze to je paket jako
> > delany do jeho definovaneho tunelu, protoze ma spravnou src a
> > dst ip adresu a tak ho "tam" taky posle.
>
> Pokial viem SNAT sa vykona az po dokonceni routovania.
Ano, tady jsem se spatne vyjadril. Tohle samozrejme vim :-)
Mel jsem napsat, pote co jadro vi, kam to pujde podle routovaci tabulky,
tak to zamaskaraduje (a tu se domnivam, ze prave podle routovaci
tabulky, pac pouzivam MASQUERADE, nikoliv SNAT) a vypusti..
>
> > No a na stroji _right_ prijde ESP paket, vezme si ho na
> > starost ipsec, zjisti, ze to je to prave orechove a pak uz to
> > jadro podle routovaci tabulky posila do te vnitrni site, kam
> > to melo dojit... </HRUBA SPEKULACE>
> >
---------------------------------------------------------------------------
Bc. Zdenek Kaminski <xkaminsk at fi.muni.cz>
homepage: http://www.fi.muni.cz/~xkaminsk/
IPv6 router homepage: http://merlot.ics.muni.cz/
Další informace o konferenci Linux