problem s DNAT
tldv
h na n.cz
Pondělí Prosinec 5 17:06:52 CET 2005
cau,
zkusil bych se podivat zda src i dst IP po DNATu odpovida subnetum
definovanym v ipsecu.
hmls
On Mon, 5 Dec 2005, Zdenek Prchal wrote:
> mam dost podivny problem s netfilterem na linuxovem firewallu
> (kernel 2.6.12 mandrake). Pouzivam shorewall, ale to mozna
> nehraje az tak roli, vygenerovana pravidla jsem prohlizel
> uz nekolikrat a zadnou chybu jsem neobjevil.
> O co se snazim:
> potrebuju na verejne adrese fw zpristupnit pop3 server
> z vnitrni site, to v zasade funguje (pro klienty z mistni lan
> i z internetu). Problem nastava v okamziku, kdy se o totez
> snazim pro klienta, ktery se pripojuje ze vzalene lan spojene
> pres ipsec. Tunel je funkcni, na verejnou IP adresu fw se lze
> skrz tunel pripojit, pakety tunelem prijdou, jsou dekodovany a
> dostanou se do chainu s DNAT:
> Ted bych cekal, ze je uvidim ve FORWARD chainu (source
> adresa puvodni, dest zmenena na <locIP>), bohuzel kde nic,
> tu nic. Ty 3 SYN pakety proste nekde v kernelu zmizi, uz
> jsem vypnul i rp_filter a zapnul logovani martanu a porad nic.
> Nejak me nenapada, co bych jeste mohl zkusit, jak
> vypatrat proc a kde ty pakety mizi, mozna prehlizim
> neco uplne trivialniho, ale uz opravdu nevim ...
--
Check my PGP public key at http://poblijon.ubal.to/~tloudev/pgp.pub
Další informace o konferenci Linux