NAT pred IPsec s pomocou IPFW
Dan Lukes
dan at obluda.cz
Tue Oct 18 22:36:33 CEST 2016
Marián Černý wrote:
> Ako zariadit, aby traffic s prelozenymi adresami bol dalej spracovany cez IPsec?
Jak IPFW (potazmo NAT, ktery je jeho casti) tak IPSEC maji spolecne to,
ze sedi v ceste zpracovavaneho paketu a dle vlastni uvahy s
prochazejicimi pakety pripadne neco provadeji.
Poradi je pevne dane tim, jak to je v kodu naprogramovane. A k tve
smule, v ip_output() je nejprve IPSEC a pak teprve pFil.
Takze ipsec dostava paket jeste neprelozeny a v teto podobe nespadne pod
zadne SPD a IPSEC ho tedy propusti bez zmeny.
No a pote prijde na radu NAT a ten ho prelozi.
Podle me mas smulu, to co chces FreeBSD proste normalne neumi.
Mozna by slo ukecat nejakym trikem - pouzit netgraph;
naroutovat/naforwardovat prelozeny paket do smycky nejakeho typu
(spojenim dvou tun interfacu, pouzit nejak loopback) na jejimz konci se
provede zadany IPSEC; zaridit neco podobneho "ukradenim" prelozeneho
paketu pomoci 'ipfw divert' spojeneho s jednoduchou utilitou, ktera
ukradeny paket odeslanim zasmyckuje; pouzit 'netmap' ; ...
... ale nenapada me mometalne zadny natolik konkretni zpusob, abych ho
dokazal predlozit jako navrh reseni..
Dan
More information about the Users-l
mailing list