On Sun, Jan 04, 2009 at 03:39:35PM -0800, JaR wrote: > > Supongo que lo queres para permitir las cosas que pasan por > > el tunel. Si > > es asi, no hace falta parchear nada, usas el nuevo modulo > > de match de > > iptables "policy" y listo. Por ejemplo, si queres > > permitir el forward > > para el trafico de IPs conocidas que vengan via ipsec: > > > > iptables -A FORWARD -s 10.0.0.0/255.0.0.0 -d > > 10.0.0.0/255.0.0.0 -m policy --dir out --pol ipsec --mode > > tunnel -j ACCEPT > > iptables -A FORWARD -s 10.0.0.0/255.0.0.0 -d > > 10.0.0.0/255.0.0.0 -m policy --dir in --pol ipsec --mode > > tunnel -j ACCEPT > > > > 10.0.0.0/24 son las redes que estan en cada lado del tunel. > > > > y listo... > > > > En realidad es para natear antes de que lo agarre NETKEY y lo encripte dado > que del otr lado (remoto) solo aceptan una ip de mi rango > > > Yahoo! Cocina > Recetas prácticas y comida saludable > http://ar.mujer.yahoo.com/cocina/
Deberias ver los paquetes antes de entrar al tunel en POSTROUTING, con eso lo podrias natear. La diferencia es que te cambiaria el rightsubnet o leftsubnet. -- -------------- Diego Woitasen
