Ipsec Alternative Source-NAT und iptables?

To: debian-user-german@lists.debian.org
Subject: Ipsec Alternative Source-NAT und iptables?
From: Thomas Berer <tberer@googlemail.com>
Date: Mon, 11 Jul 2005 18:41:36 +0200
Message-id: <[🔎] dau7fu$cu7$1@online.de>

Hallo,

ich habe ein lokales Netz das über ipsec Zugriff auf andere Netze hat(oder haben soll). Dabei soll jeder Rechner aus dem lokalen Netz Zugriffauf das entferne Netz bekommen aber nicht umgekehrt. Für die Rechner amanderen Ende der Tunnel soll nur das öffentliche Interface desVPN-Gatewas erreichbar sein. Das Gateway ist ein neues Debain SargeSystem mit 2.4 Kernel auch gleichzeitig das default Gateway für dasinterne LAN.

Das Gateway hat 2 NICs. eth0 fürs interne LAN und über eth1 kommen dieVPN Verbindungen. Der Endpunkt für die VPN Verbindungen ist eth1.

Mein erster Ansatz war mit iptables ein Source-NAT vom internen subnetauf die externe IP zu machen. Leider funktioniert das nicht weil diePackete scheinbar in ESP gekapselt werden bevor sie durch POSTROUTINGder iptables laufen. Ab Kernel 2.6 gibt es einen Patch der das möglichmacht.


ipsec-01-output-hooks
ipsec-02-input-hooks
ipsec-03-policy-lookup
ipsec-04-policy-checks
http://www.netfilter.org/patch-o-matic/pom-extra.html

Ich bin neu bei Debian und würde gerne erstmal den "standard" Kerneleinsetzen. Gibt es eine andere Möglichkeit das lokale Netz von denanderen zu trennen?



Danke

Thomas

Reply to:

Prev by Date: Programm fuer Suchmaschineneintraege
Next by Date: Re: ISDN und angerufene Nummer
Previous by thread: Programm fuer Suchmaschineneintraege
Next by thread: Sarge - Installproblem
Index(es):
- Date
- Thread