NAT v ramci jednoho stroje
Martin Balint
konferencie at balint.sk
Wed Jun 21 00:04:55 CEST 2006
Zdravim,
mam na jednom FreeBSD 6.1 stroji 2 sitove karty, fxp0 (pripojena k
routru) a rl0.
rl0 (192.168.158.100) je urcena k tomu, aby vytvarela privatni sitove
prostredi v ramci stroje, na ktere se pripojuje pres openvpn.
Soucasne nastaveni je takove:
fxp0: 192.168.10.13 pripojeno na router 192.168.10.0
rl0: 192.168.158.100 nepripojeno nikam
dale existuje jail 'iota', ktery:
jail_iota_rootdir="/home/iota"
jail_iota_hostname="iota"
jail_iota_ip="192.168.158.100"
jail_iota_interface="rl0"
Mam nastaveny NAT: redirect_port tcp 192.168.158.100:1194 1194
Tedy openvpn klient se pripaji na 192.168.10.13 a je forwardovan na
192.168.158.100. Tam posloucha openvpn server.
ipfw.rules vypada takhle:
/sbin/ipfw add divert natd log all from any to any via fxp0
/sbin/ipfw add pass all from any to any
Tim se dostanu z 'iota' jailu na net.
Problem mam ale v tom, ze kdyz se prihlasim ssh do jailu
192.168.158.100, nemuzu pingovat klientske openvpn stanice, ani z
klientu nepingnu 192.168.158.100. Klienti se mezi sebou pinguji.
Z jailu muzu pingovat servery na inetu.
Nevite, v cem by mohl byt problem?
sysctl -a:
security.jail.allow_raw_sockets: 1
net.link.ether.bridge.config: rl0,tap0
net.link.ether.bridge.enable: 1
Trocha se mi ale nezda ten zapis ipfw.rules, ale pouze takhle mi
fungovala komunikace z jailu ven. Optimalne bych to asi videl na neco
jako add divert natd log all from 192.168.158.100 to any via fxp0, ale
tenhle zapis nefungoval. Pakety odchazeli a vraceli se pres fxp0, ale
nedorazili do jailu.
Trocha me taky znepokojuje vypis security logu, jakoby se snazil
divertovat vsechno, co potka na fxp0:
192.168.10.16 je stanice, z ktere jsem pripojen pres ssh.
Jun 20 23:58:03 epsilon kernel: ipfw: 100 Divert 8668 TCP
192.168.10.13:22 192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 200 Accept TCP 192.168.10.13:22
192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 100 Divert 8668 TCP
192.168.10.13:22 192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 100 Divert 8668 TCP
192.168.10.13:22 192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 200 Accept TCP 192.168.10.13:22
192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 200 Accept TCP 192.168.10.13:22
192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 100 Divert 8668 TCP
192.168.10.13:22 192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 100 Divert 8668 TCP
192.168.10.13:22 192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 200 Accept TCP 192.168.10.13:22
192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 200 Accept TCP 192.168.10.13:22
192.168.10.16:3111 out via fxp0
Jun 20 23:58:03 epsilon kernel: ipfw: 100 Divert 8668 TCP
192.168.10.13:22 192.168.10.16:3111 out via fxp0
Cele to na mne pusobi tak, ze je asi blbe zapis ipfw.rules, poradite
nekdo, co s tim?
Moc dik za rady
Martin
More information about the Users-l
mailing list