[linux] IPSEC client behind NAT
Juraj Bednar
juraj na bednar.sk
Středa Prosinec 17 00:48:27 CET 2003
Ahoj,
> problem je nasedovny.
>
> Na WinXP stanici je IPSEC client, ktorym sa pripaja do inych sieti.
> Tento client je za NAT na privatnych adresach(192.168.0.0/24) a na FW su nasledovne
> pravidla
>
> --- CUT ---
> # NAT on eth0
> -P FORWARD DROP
> -A FORWARD -i eth0 -o eth10 -j ACCEPT
> -A FORWARD -i eth10 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
> -A POSTROUTING -t nat -j SNAT -s 192.168.0.0/24 -o eth1 --to-source <public IP>
> --- CUT ---
>
>
> Co je treba spravit, aby to zacalo bezat ? Treba nejake specialnemoduly
> na NETFILTER, alebo nieco podobne?
> Nasiel som pravislo
> -- CUT ---
> -t nat -A PREROUTING -i eth0 -p 17 -dport 500 -j DNAT -to 192.168.0.2:500
> -- CUT --
>
> Problem je v tom, ze toto sa forwarduje na jednu konkretnu masinu. ale
> tych masin je tam takych viacej.
>
> Viem, ze to ide. Uz som to videl.
zabal to najprv do udp/gre tunela. Nechodi ti to preto, lebo mas
podpisanu aj cast hlavicky, kde je ip adresa, ked ju prelozis, podpis
nesadne.
Juraj.
------------- další část ---------------
Netextová příloha byla odstraněna...
Jméno: [žádný popis není k dispozici]
Typ: application/pgp-signature
Velikost: 232 bytes
Popis: [žádný popis není k dispozici]
Url : http://lists.linux.sk/pipermail/linux/attachments/20031217/02370b12/attachment.bin
Další informace o konferenci linux