problem s DNAT

[Zdeněk Prchal]

>> No to sice odpovida, ale trochu jinak - zatimco puvodni byly z
>> remote lan - gw, tak po DNATu jsou z remote lan - local lan
>> Nicmene proc by se o to mel ipsec dal starat? Ty pakety
>> v DNAtu uz jsou rozbalene, dekodovane (pravidlo testuje az
>> tcp pop3 port, nikoliv predtim, kdyz to bylo jeste zabalene v esp).
>> Dal by to uz mela byt ciste zalezitost routingu, ne? Nebo tomu
>> mozna ne zcela dobre rozumim, a takhle jak to chci to
>> prave kvuli ipsecu udelat nepujde, coz je taky dost dobre
>> mozne ...
>Mate dobre nastaveny tunel v shorewall  ? Nie su v logoch zaznamy, ze to
>shorewall zahadzuje ?a co hovori prikaz ip route show ?

Ne, tohle vsechno je OK, pakety chodi tak jak maji, spojeni v ramci

tunelu je mozne jak lan1-lan2, tak i lanX-gwX v libovolne kombinaci,

problem je skutecne az kdyz se snazim o ten DNAT. A kdyby to 

shorewall (tedy iptables v kernelu) zahazoval, tak by se predevsim

ty pakety nejdriv musely do nejakeho chainu dostat, jenze naposledy

jsou videt v PREROUTING v DNAT pravidlu (tedy DNATem projdou OK),

pak by se mely objevit ve FORWARD, jenze neobjevi (dal jsem si na

zacatek chainu LOG a nic) ...

Zdenek Prchal