IPSEC a DNAT

Peter Ronai linux na my-scotland.sk
Pondělí Říjen 7 17:32:17 CEST 2002


On Mon, 2002-10-07 at 15:43, Ing. Pavel PaJaSoft Janousek wrote:
> On Mon, 2002-10-07 at 14:55, Peter Ronai wrote:
> > Zdravicko
> > mam problem ktory si odporuje s dokumentaciou freeswan. Mame zakaznika
> > ktory ma rovnaky privatny subnet ako my (tj napriklad dajme tomu ze my
> > mame 10.1.1.0/24 a zakaznik ma 10.1.1.0/24). Nie je myslitelne aby sme
> > menili nas alebo ich subnet a potrebujeme sa k nim spajat a robit im
> > support cez vnc. 
> > Spojenie je na nasej strane checkpoint firewall na ich strane linux
> > firewall. Mame kopec takychto klientov, ale ziaden nema rovnaky subnet
> > ako my. 

Doplnenie - ide samozrejme o spojenia cez IPSEC

> > Skusal som to obist sposobom kde checkpoint robil masq (spojenie bude
> > iniciovane len z nasej siete ku zakaznikovi a nie opacne) a na linuxovom
> > firewalle som urobil DNAT typu iptables -A PREROUTING -d 172.31.1.0/24
> > -j DNAT --to 10.1.1.0-10.1.1.255. Potom som sa skusil pripojit z nasej
> > siete na zakaznicku ta ze namiesto adries 10.1.1.x pouzivam 172.31.1.x.
> > Potiaz je v tom ze ak spravim tcpdump na linuxovom firewalle, zistim ze
> > adresy nie su dnatnute (vo vnutri siete je test box na ktorom ak spravim
> > tcpdump tak zistujem ze k nemu to logicky ani neprichadza a firewall
> > arpom hlada danu 172 adresu)
> > 
> > stretol sa niekto uz s niecim podobnym?
> > 
> 
> 	Nejak jsem nepostrehl zminku o tom IPsecu...;-)
> 

sorac

> 	Ale jinak - je problem pres IP aliasing na stroje, ktere musite 
> spravovat, dat adresu z rozsahu 192.168.0.0/16 jako dalsi IP adresu?
Pak 
> uz se Vam subnety bit nebudou.

Znie to dorbre, hacik je al v tom ze konfiguracia sa stenci na zmenu
masky namiesto zmeny ip adresy a masky a brany a dns servera. Uznavam ze
ide o znacne usetrenie, ale pokial hovorime o stovkach stanic a
serverov, nie je to dobry napad. Nepytajte sa ma preco sa nepouziva DHCP
u klienta a nasu siet by som (vraj) nemal uvazovat zmenit koli nejakym
aplikacnym zalezitostiam beziacim v privatnej sieti na konkretnych
adresach cez IPSEC od inych klientov :(

> Rovnez pozor na AH protokol (soucasti 
> IPsec), bude rvat, pokud budete sahat do IP packetu...
> 

No ono sa to tvari tak ze iptablesovsky DNAT to jednoducho s prehladom
odignoruje pokial je source z ipsecu ako som uz vyssie spomenul

dz



________________________________________________________________________
This email has been scanned for all viruses by the MessageLabs SkyScan
service. For more information on a proactive anti-virus service working
around the clock, around the globe, visit http://www.messagelabs.com
________________________________________________________________________


Další informace o konferenci Linux