problem s DNAT
Zdeněk Prchal
prchal na vtdata.cz
Pondělí Prosinec 5 20:31:13 CET 2005
>> No to sice odpovida, ale trochu jinak - zatimco puvodni byly z
>> remote lan - gw, tak po DNATu jsou z remote lan - local lan
>> Nicmene proc by se o to mel ipsec dal starat? Ty pakety
>> v DNAtu uz jsou rozbalene, dekodovane (pravidlo testuje az
>> tcp pop3 port, nikoliv predtim, kdyz to bylo jeste zabalene v esp).
>> Dal by to uz mela byt ciste zalezitost routingu, ne? Nebo tomu
>> mozna ne zcela dobre rozumim, a takhle jak to chci to
>> prave kvuli ipsecu udelat nepujde, coz je taky dost dobre
>> mozne ...
>Mate dobre nastaveny tunel v shorewall ? Nie su v logoch zaznamy, ze to
>shorewall zahadzuje ?a co hovori prikaz ip route show ?
Ne, tohle vsechno je OK, pakety chodi tak jak maji, spojeni v ramci
tunelu je mozne jak lan1-lan2, tak i lanX-gwX v libovolne kombinaci,
problem je skutecne az kdyz se snazim o ten DNAT. A kdyby to
shorewall (tedy iptables v kernelu) zahazoval, tak by se predevsim
ty pakety nejdriv musely do nejakeho chainu dostat, jenze naposledy
jsou videt v PREROUTING v DNAT pravidlu (tedy DNATem projdou OK),
pak by se mely objevit ve FORWARD, jenze neobjevi (dal jsem si na
zacatek chainu LOG a nic) ...
Zdenek Prchal
Další informace o konferenci Linux