[linux] IPSEC client behind NAT
Peter Hudec
hudecof na hudecof.net
Středa Prosinec 17 09:49:34 CET 2003
Juraj Bednar wrote:
> Ahoj,
>
>
>>problem je nasedovny.
>>
>>Na WinXP stanici je IPSEC client, ktorym sa pripaja do inych sieti.
>>Tento client je za NAT na privatnych adresach(192.168.0.0/24) a na FW su nasledovne
>>pravidla
>>
>>--- CUT ---
>># NAT on eth0
>>-P FORWARD DROP
>>-A FORWARD -i eth0 -o eth10 -j ACCEPT
>>-A FORWARD -i eth10 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
>>-A POSTROUTING -t nat -j SNAT -s 192.168.0.0/24 -o eth1 --to-source <public IP>
>>--- CUT ---
>>
>>
>>Co je treba spravit, aby to zacalo bezat ? Treba nejake specialnemoduly
>>na NETFILTER, alebo nieco podobne?
>>Nasiel som pravislo
>>-- CUT ---
>>-t nat -A PREROUTING -i eth0 -p 17 -dport 500 -j DNAT -to 192.168.0.2:500
>>-- CUT --
>>
>>Problem je v tom, ze toto sa forwarduje na jednu konkretnu masinu. ale
>>tych masin je tam takych viacej.
>>
>>Viem, ze to ide. Uz som to videl.
>
>
> zabal to najprv do udp/gre tunela. Nechodi ti to preto, lebo mas
> podpisanu aj cast hlavicky, kde je ip adresa, ked ju prelozis, podpis
> nesadne.
problem je v tom, ze keby som to do GRE tunela mohol zabalit, tak jo tam
je. ALe ja nemozem, lebo to by som musel robit GRE tunel ku kazdenu
zakaznikovi nasho zakaznika a to neviem kto vsetko je a este by som sa
musel dohodnut aj s druhou stranou. Takze toto riesenie nie je mozne a
napadlo aj mna.
hudecof
>
>
>
> Juraj.
>
--
mail: [hudecof na hudecof.net] www: [http://hudecof.net]
cellular: [+421 905 703541] icq: [99518783]
gpg: [http://hudecof.net/data/hudecof.gpg]
Další informace o konferenci linux