ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Sergey A. Yakovets                   2:5004/75.5088 30 Jan 2006  16:50:58
 To : All
 Subject : Извращенный роутинг + NAT
 -------------------------------------------------------------------------------- 
 

 
     Я опять вернулся со своей проблемой...
 
     Диспозиция: есть шлюз под эхотагом. Hа нём стоит спутниковый инет.
     Hа шлюзе две карточки - rl0 глядит в спутниковый приемник, откуда идут
 ответные пакеты, rl1 - "земля" с реальником, через которую уходят запросы.
 
     Есть статический маршрут на OpenVPN провайдера PlanetSky.
     Дефотлный маршрут - в туннель tun0 до VPN-сервера.
 
     Проблема: надо сделать так, чтобы один из хостов в локалке ходил по земле.
 
     Решение вроде было найдено, но как оказалось оно не работает, т.е. работает
 но не так.
 
     Итак, листинг файервольных правил:
 
     natd -n tun0
     natd -n rl1 -p 8888 -f /etc/natd.conf
 
     route change default $PS_GRAY_SRV
 
     ipfw add 1200 divert 8888 ip from any to $RealIP in recv rl1
     ipfw add 1430 skipto 1600 ip from 192.168.0.162 to any out via tun0
     ipfw add 1500 skipto 1750 ip from any to any
     ipfw add 1600 divert 8888 ip from any to any
     ipfw add 1700 fwd $RealIP ip from any to any
     ipfw add 1800 divert 8668 ip from any to any via rl0
     ipfw add 1900 divert 8668 ip from any to any via tun0
 
     Система работала до тех пор, пока не выяснилось, что она работает
 неправильно ;) Выяснилось, что в туннель tun0 попадают пакеты с моим реальником,
 которые затем не HАТятся на стороне провайдера и поэтому все работает. PlanetSky
 пригрозили, что скоро сказка кончится.
 
     Т.е. получается, что пакеты с реальником из туннеля не вылавливаются и в
 шлюз по земле не заворачиваются...
 
     Взываю о помощи ;)
 
     Ядро собрано с опциями:
     options IPFIREWALL
     options IPFIREWALL_FORWARD
     options IPFIREWALL_VERBOSE
     options IPDIVERT
     options DUMMYNET
 
     Может все дело в том, что нет IPFIREWALL_FORWARD_EXTENDED ?
     Заранее спасибо за ответы.
 
     C уважением, Sergey A. Yakovets.
     E-mail: for-transit@yandex.ru    ICQ UIN: 165641526
 
 ... FaqServer 2:5088/50.50    Subj: %HELP %LIST
  * Origin: "Емельянов" - это не фамилия, а диагноз... (2:5004/75.5088)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Извращенный роутинг + NAT   Sergey A. Yakovets   30 Jan 2006 16:50:58   Re: Извращенный роутинг + NAT   Andrey Zonov   30 Jan 2006 17:52:08   Re: Извращенный роутинг + NAT   Alexander Fatykhov   30 Jan 2006 18:57:11   Re: Извращенный роутинг + NAT   Andrey Zonov   30 Jan 2006 19:34:04   Re: Извращенный роутинг + NAT   Sergey A. Yakovets   31 Jan 2006 10:37:53