IPSEC a DNAT

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Úterý Říjen 8 09:24:59 CEST 2002


Peter Ronai wrote:
> No ono sa to tvari tak ze iptablesovsky DNAT to jednoducho s prehladom
> odignoruje pokial je source z ipsecu ako som uz vyssie spomenul

	Pokud se jedna o sit se stovkami pocitacu, pak jeden navic nikoho 
nezabije (zaklad myslenky)... tedy konec IPsec tunelu koncit na stroji 
pred DNATem a nechat pak probehnout klasicky DNAT... - neresil jsem...

PS: drive velmi slusne tcpdump ukazoval cestu neco jako

eth0 < IP1 src > IP2 dst
eth1 < IP3 src > IP2 dst

bohuzel nove verze to jiz nedelaji... aspon jsem neprisel na to, jak ho 
donutit psat ty interface...

[root na ronin root]# tcpdump -n icmp -i any
tcpdump: listening on any
10:34:33.492100 192.168.0.1 > 192.168.0.16: icmp: 192.168.0.1 udp port 
1900 unreachable [tos 0xc0]
10:34:33.492193 192.168.0.1 > 192.168.0.16: icmp: 192.168.0.1 udp port 
1900 unreachable [tos 0xc0]

toto je zalostne malo...:-(

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------



Další informace o konferenci Linux