NAT v ramci jednoho stroje

Martin Balint konferencie at balint.sk
Wed Jun 21 00:04:55 CEST 2006


Zdravim,

mam na jednom FreeBSD 6.1 stroji 2 sitove karty, fxp0 (pripojena k 
routru) a rl0.
rl0 (192.168.158.100) je urcena k tomu, aby vytvarela privatni sitove 
prostredi v ramci stroje, na ktere se pripojuje pres openvpn.

Soucasne nastaveni je takove:
fxp0: 192.168.10.13 pripojeno na router 192.168.10.0
rl0: 192.168.158.100 nepripojeno nikam

dale existuje jail 'iota', ktery:
jail_iota_rootdir="/home/iota"
jail_iota_hostname="iota"
jail_iota_ip="192.168.158.100"
jail_iota_interface="rl0"

Mam nastaveny NAT: redirect_port tcp 192.168.158.100:1194 1194
Tedy openvpn klient se pripaji na 192.168.10.13 a je forwardovan na 
192.168.158.100. Tam posloucha openvpn server.

ipfw.rules vypada takhle:
  /sbin/ipfw add divert natd log all from any to any via fxp0
  /sbin/ipfw add pass all from any to any
Tim se dostanu z 'iota' jailu na net.
Problem mam ale v tom, ze kdyz se prihlasim ssh do jailu 
192.168.158.100, nemuzu pingovat klientske openvpn stanice, ani z 
klientu nepingnu 192.168.158.100. Klienti se mezi sebou pinguji.
Z jailu muzu pingovat servery na inetu.
Nevite, v cem by mohl byt problem?

sysctl -a:
security.jail.allow_raw_sockets: 1
net.link.ether.bridge.config: rl0,tap0
net.link.ether.bridge.enable: 1

Trocha se mi ale nezda ten zapis ipfw.rules, ale pouze takhle mi 
fungovala komunikace z jailu ven. Optimalne bych to asi videl na neco 
jako add divert natd log all from 192.168.158.100 to any via fxp0, ale 
tenhle zapis nefungoval. Pakety odchazeli a vraceli se pres fxp0, ale 
nedorazili do jailu.

Trocha me taky znepokojuje vypis security logu, jakoby se snazil 
divertovat vsechno, co potka na fxp0:
192.168.10.16 je stanice, z ktere jsem pripojen pres ssh.
Jun 20 23:58:03 epsilon kernel: ipfw: 100 Divert 8668 TCP 
192.168.10.13:22 192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 200 Accept TCP 192.168.10.13:22 
192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 100 Divert 8668 TCP 
192.168.10.13:22 192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 100 Divert 8668 TCP 
192.168.10.13:22 192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 200 Accept TCP 192.168.10.13:22 
192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 200 Accept TCP 192.168.10.13:22 
192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 100 Divert 8668 TCP 
192.168.10.13:22 192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 100 Divert 8668 TCP 
192.168.10.13:22 192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 200 Accept TCP 192.168.10.13:22 
192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 200 Accept TCP 192.168.10.13:22 
192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 100 Divert 8668 TCP 
192.168.10.13:22 192.168.10.16:3111 out via fxp0

Cele to na mne pusobi tak, ze je asi blbe zapis ipfw.rules, poradite 
nekdo, co s tim?

Moc dik za rady
Martin




More information about the Users-l mailing list