|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexandr V. Oskolkov 2:5020/400 23 Jun 2003 12:03:13
To : Ivan Voytas
Subject : Re: ipnat + ipfw + ipsec + ng_ipacct
--------------------------------------------------------------------------------
Hello, Ivan!
You wrote to All on Mon, 23 Jun 2003 08:51:05 +0400:
IV> Еще имеет место быть прохождение outbound ipsec до ipfw. Проверено
IV> експериментально.
IV> Собственно вопрос: куда в данную цепочку добавить ipsec и netgraph?
ВО!!!
Я подобный вопрос уже задавал. у меня вообще такое впечатление, что
ipsecовские пакеты даже до ipnat-а не долетают.
смотри:
Это коннект через шифрованное соединение (ipsecом) на почтовик, который
живет в jail-е и на который все ipnat-ом ридеректится:
ao@dhq.home.lan[~]$ telnet xxxxx.ru 25
Trying xx.xx.xx.xx...
telnet: connect to address xx.xx.xx.xx: Connection refused
telnet: Unable to connect to remote host
понятно, что будет отлуп т.к. фактически 25 порт на внешнем ипе никто не
слушает
таже беда и на WWW в jail-e:
ao@dhq.home.lan[~]$ telnet xxxxxx.ru 80
Trying xx.xx.xx.xx...
telnet: connect to address xx.xx.xx.xx: Connection refused
telnet: Unable to connect to remote host
такаяже история и с www
а вот на ssh, на который ничего не редиректится, все долетает т.к. он
слушает на внешнем ипе без всяких натов.
ao@dhq.home.lan[~]$ telnet xxxxxx.ru 22
Trying xx.xx.xx.xx...
Connected to rk.utk.ru.
Escape character is '^]'.
SSH-1.99-OpenSSH_3.4p1 FreeBSD-20020702
^Cff
Connection closed by foreign host.
ao@dhq.home.lan[~]$
так что оно пролетает мимо всяких nat-ов по ходу дела :) как и мимо ipfw
т.к. левые пакеты удается убивать файрволом тоже хитрым образом.
With best regards, Alexandr V. Oskolkov.
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: ipnat + ipfw + ipsec + ng_ipacct 
