ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Sergey Korolew                       2:6053/1.2     30 Dec 2003  14:34:00
 To : Sergey Melnikov
 Subject : nat?
 -------------------------------------------------------------------------------- 
 

 
 30 Дек 03 08:13, Sergey Melnikov писал к vovk@km.ua.del.it:
 
  SM> 01500       2325     262236 divert 1234 ip from any to any via ng0
  SM> 01505      12107     877899 divert 1234 ip from any to me
 
  SM> И всё равно ничего не пингуется :( Что он там дивертит, и куда.
 
 Вот тебе работающий вариант. Внимание - дефолтный маршрут у меня на "землю",
 пользуюсь ipfw fwd. Тебе как минимум до всех natов нужно обеспечить
 нормальную работу vpn и натить только то, что нужно.
 
 rc.local:
 
 /sbin/ifconfig fxp2 link 0:0:0:0:0:0
 
 /sbin/natd -p 8669 -n ng0 -dynamic
 /usr/local/sbin/mpd -b
 ====================================
 vpn-up скрипт:
 
 # $1 - interface
 # $2 - "inet"
 # $3 - local-ip
 # $4 - remote-ip
 
 # исходящие клиентские пакеты - в nat.
 /sbin/ipfw -q add 2400 divert 8669 ip from 192.168.180.0/24 to any out xmit fxp0
 # входящие пакеты из vpn - в nat.
 /sbin/ipfw -q add 2400 divert 8669 ip from any to $3 in recv $1
 # После ната пакеты пойдут по дефолтному маршруту, но с изменившимся
 # source ip - их форвардим в vpn.
 /sbin/ipfw -q add 2500 fwd $4 ip from $3 to any out
 # для порядку.
 /sbin/ipfw -q add 35600 pass icmp from any to $3
 /sbin/ipfw -q add 35600 pass icmp from $3 to any
 ====================================
 vpn-down:
 
 /sbin/ipfw -q delete 2400 2500 35600
 ====================================
 rc.firewall: внешний интерфейс fxp0, к пентаоффису fxp2
 
         # Enable GRE out on external iface for outgoing VPN
         ${fwcmd} add 2300 pass gre from ${oip} to any out xmit ${oif}
 
         # Rules 2400-2500 for forwarding to satellite
 
         # Safety system - disable connections from dialup
         # if sat-link down
         ${fwcmd} add 2600 deny ip from ${dnet1}:${dmask1} to any via ${oif}
 
 # Это основной нат на внешнем интерфейсе.
         ${fwcmd} add 3000 divert natd all from any to any via ${natd_interface}
 
         # Enable incoming GRE on sat iface (for outgoing VPN)
         ${fwcmd} add 3030 pass gre from any to ${oip} in recv ${satif}
         # doing NAT on satellite interface
 # Эта строчка для возможности работать через спутниковый прокси.
         ${fwcmd} add 3050 divert natd all from any to ${oip} in recv ${satif}
 
 Дальше как обычно.
  Всего наилучшего,
   Sergey aka DS
 
 --- GoldED+/W32 snapshot-2001.03.04
  * Origin: Hету. Придумывать лень. (2:6053/1.2)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    nat?   Sergey Melnikov   29 Dec 2003 14:24:02   Re: nat?   Slava Vovk   29 Dec 2003 17:11:44   Re: nat?   Sergey Melnikov   30 Dec 2003 09:13:14   nat?   Sergey Korolew   30 Dec 2003 14:34:00   Re: nat?   Sergey Melnikov   31 Dec 2003 09:19:00