Re: Вопрос по iptables, VPN и FORWARDING
Vitaly Borisov -> debian-russian@lists.debian.org @ Thu, 01 Mar 2007 11:37:57 +0300:
VB> Здравствуйте, коллеги!
VB> У меня локальная сеть 10.0.1.0/24. Выход в инет через линуксовый файрвол.
VB> Сейчас наши зарубежные партнёры решили подключить нас в свою сеть через
VB> VPN.
VB> Но подняли VPN на Cisco PIX и привезли нам. Я им выделил внутренний IP и
VB> внешний из нашего диапазона, чтобы провайдер их трафик отдельно мерил.
VB> Думал, так будет проще. Но их сисадмин теперь хочет проверить канал
VB> пингованием, и требует, чтобы я сделал форвардинг в его сеть
VB> 10.29.234.0/24 через циску.
VB> Я iptables понимаю пока по минимуму ( на файрволе поставили лингейт для
VB> подсчёта трафика).
VB> Добавил такие правила(подсмотрел в переводе руководства):
VB> iptables -t nat -A PREROUTING -p tcp -d $ALIEN_NET -j DNAT
VB> --to-destination $PIX_IP
VB> iptables -t nat -A POSTROUTING -p tcp --dst $PIX_IP -j SNAT --to-source
VB> $FWALL_IP
VB> iptables -A FORWARD -s $OUR_LAN -d $ALIEN_NET -j ACCEPT
VB> iptables -A FORWARD -s $ALIEN_NET -d $OUR_LAN -j ACCEPT
VB> Пинги не ходят(правда может быть из-за того, что я задал протокол tcp в
VB> первых двух правилах).
Ну, для начала да, если ты пишешь правило для TCP, то на ICMP оно
магическим образом распространяться не будет.
VB> Подскажите, пожалуйста, как добиться связи в такой конфигурации?
VB> (Я, честно говоря, вообще не понимаю, как это может работать.)
А для остального надо бы внятно изложить конфигурацию...
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Win-юзеры - это типа Win-модемов и Win-принтеров: такие же юзеры, но попроще,
без мозгов и памяти на борту.
http://www.livejournal.com/~dottedmag/158509.html
Reply to: