IPSEC a DNAT
Peter Ronai
linux na my-scotland.sk
Pondělí Říjen 7 17:32:17 CEST 2002
On Mon, 2002-10-07 at 15:43, Ing. Pavel PaJaSoft Janousek wrote:
> On Mon, 2002-10-07 at 14:55, Peter Ronai wrote:
> > Zdravicko
> > mam problem ktory si odporuje s dokumentaciou freeswan. Mame zakaznika
> > ktory ma rovnaky privatny subnet ako my (tj napriklad dajme tomu ze my
> > mame 10.1.1.0/24 a zakaznik ma 10.1.1.0/24). Nie je myslitelne aby sme
> > menili nas alebo ich subnet a potrebujeme sa k nim spajat a robit im
> > support cez vnc.
> > Spojenie je na nasej strane checkpoint firewall na ich strane linux
> > firewall. Mame kopec takychto klientov, ale ziaden nema rovnaky subnet
> > ako my.
Doplnenie - ide samozrejme o spojenia cez IPSEC
> > Skusal som to obist sposobom kde checkpoint robil masq (spojenie bude
> > iniciovane len z nasej siete ku zakaznikovi a nie opacne) a na linuxovom
> > firewalle som urobil DNAT typu iptables -A PREROUTING -d 172.31.1.0/24
> > -j DNAT --to 10.1.1.0-10.1.1.255. Potom som sa skusil pripojit z nasej
> > siete na zakaznicku ta ze namiesto adries 10.1.1.x pouzivam 172.31.1.x.
> > Potiaz je v tom ze ak spravim tcpdump na linuxovom firewalle, zistim ze
> > adresy nie su dnatnute (vo vnutri siete je test box na ktorom ak spravim
> > tcpdump tak zistujem ze k nemu to logicky ani neprichadza a firewall
> > arpom hlada danu 172 adresu)
> >
> > stretol sa niekto uz s niecim podobnym?
> >
>
> Nejak jsem nepostrehl zminku o tom IPsecu...;-)
>
sorac
> Ale jinak - je problem pres IP aliasing na stroje, ktere musite
> spravovat, dat adresu z rozsahu 192.168.0.0/16 jako dalsi IP adresu?
Pak
> uz se Vam subnety bit nebudou.
Znie to dorbre, hacik je al v tom ze konfiguracia sa stenci na zmenu
masky namiesto zmeny ip adresy a masky a brany a dns servera. Uznavam ze
ide o znacne usetrenie, ale pokial hovorime o stovkach stanic a
serverov, nie je to dobry napad. Nepytajte sa ma preco sa nepouziva DHCP
u klienta a nasu siet by som (vraj) nemal uvazovat zmenit koli nejakym
aplikacnym zalezitostiam beziacim v privatnej sieti na konkretnych
adresach cez IPSEC od inych klientov :(
> Rovnez pozor na AH protokol (soucasti
> IPsec), bude rvat, pokud budete sahat do IP packetu...
>
No ono sa to tvari tak ze iptablesovsky DNAT to jednoducho s prehladom
odignoruje pokial je source z ipsecu ako som uz vyssie spomenul
dz
________________________________________________________________________
This email has been scanned for all viruses by the MessageLabs SkyScan
service. For more information on a proactive anti-virus service working
around the clock, around the globe, visit http://www.messagelabs.com
________________________________________________________________________
Další informace o konferenci Linux