Frozen Fido : RU.UNIX.BSD : natd & gif tunnel

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Vlad V Shpolyanskiy                  2:5020/400     10 Jun 2004  15:55:48
 To : All
 Subject : natd & gif tunnel
 --------------------------------------------------------------------------------

 Всем привет
 есть 4.9-RELEASE-p10
 есть туннель gif0 пошифрованный (ipsec transport mode)
 gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
         tunnel inet x.x.x.x --> y.y.y.y
 inet 172.19.10.2 --> 172.19.10.1 netmask 0xfffffffc
 надобно натить все что уходит наружу через этот туннель
 запускаю natd (второй экземпляр, первый работает на интрефейсе vlan0 который
 есть начало туннеля)
 natd -f /etc/natd.conf -p 8669 -l -n gif0 -v -log_denied -log_ipfw_denied
 пишу правила ipfw
 00610     11      660 divert 8669 ip from 10.0.50.50 to 172.19.10.1 out xmit
 gif0
 00611      0        0 divert 8669 ip from any to 172.19.10.2 in recv gif0
 00650     11     1232 allow esp from x.x.x.x to y.y.y.y via vlan0
 00650     11     1584 allow esp from y.y.y.y to x.x.x.x via vlan0
 00651     11      660 allow icmp from 172.19.10.0/30 to 172.19.10.0/30 via
 gif0
 
 пускаю ping с 10.0.50.50 на 172.19.10.1
 имеем результат следуещего вида
 Out [ICMP] [ICMP] 10.0.50.50 -> 172.19.10.1 8(0) aliased to
            [ICMP] 172.19.10.2 -> 172.19.10.1 8(0)
 Out [ICMP] [ICMP] 10.0.50.50 -> 172.19.10.1 8(0) aliased to
            [ICMP] 172.19.10.2 -> 172.19.10.1 8(0)
 Out [ICMP] [ICMP] 10.0.50.50 -> 172.19.10.1 8(0) aliased to
            [ICMP] 172.19.10.2 -> 172.19.10.1 8(0)
 Out [ICMP] [ICMP] 10.0.50.50 -> 172.19.10.1 8(0) aliased to
            [ICMP] 172.19.10.2 -> 172.19.10.1 8(0)
 Out [ICMP] [ICMP] 10.0.50.50 -> 172.19.10.1 8(0) aliased to
            [ICMP] 172.19.10.2 -> 172.19.10.1 8(0)
 т.е. нет пакетов проходящих через natd в обратном направлении
 при этом если посмотреть tcpdump'ом то
 tcpdump -i gif0
 tcpdump: listening on gif0
 14:19:05.067070 172.19.10.2 > 172.19.10.1: icmp: echo request
 14:19:05.110530 172.19.10.1 > 172.19.10.2: icmp: echo reply
 14:19:10.567019 172.19.10.2 > 172.19.10.1: icmp: echo request
 14:19:10.609015 172.19.10.1 > 172.19.10.2: icmp: echo reply
 т.е. ответ есть, но не попадает в divert
 почитал google
 нашел вот такое
  Set IPSEC_FILTERGIF to force packets coming through a gif tunnel
  to be processed by any configured packet filtering (ipfw, ipf).
  The default is that packets coming from a tunnel are _not_ processed;
  they are assumed trusted.
 пересобрал ядро
 результат тот же
 Подскажите, пожалуйста, куда копать?:))
 
 Спасибо.
 --- ifmail v.2.15dev5.3
  * Origin: Megabank PLC. Kharkov, Ukraine. (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
natd & gif tunnel	Vlad V Shpolyanskiy	10 Jun 2004 15:55:48
natd & gif tunnel	Andrew Alcheev	10 Jun 2004 19:11:00
Re: natd & gif tunnel	Konstantin Nikonenko	11 Jun 2004 09:13:00

Архивное /ru.unix.bsd/16516307342b5.html, оценка 2 из 5, голосов 10