Take 2, prima oara am trimis cu From: greist. :-) On Mon, Dec 08, 2003 at 09:31:54PM +0200, Bogdan Agapie wrote: > Salut! > > Al meu vajnic 486 cu RH 7.0 si kernel 2.2.19 proaspat recompilat ca sa > contina, printre altele, si ceva denumit GRE (a se vedea in subject, NEWBIE) > este pus sa suporte un VPN prin mascarada. Pe chestia asta ruleaza ipchains > ca sa dea net la poporu' care are voie, iar un kernel mai rasarit n-am cum > sa pun, ca face urit (am pus 2.4.22, am compilat la el timp de 14 ore si > mi-a zis ceva ca nu-i Pentium procesorul, desi specificasem clar arhitectura > ca fiind 486).
Eu ti-as recomanda 2.4.x, pentru ca este mult mai usor sa faci forwarding decat cu ipchains. > Acum scrie ceva in genul "ipchains -A forward -i $INTERFATA_EXTERIOARA -s > $IP-UL_INTERIOR -j MASQ" pentru fiecare ip care are voie la net. Policy > default pe input si output sint accept pentru tot. N-o fi sigur, dar mi se > rupe-n paispe. Pana aici e bine. > Ideea e ca daca dau o regula inversa, gen "ipchains -A forward -i > $IP-UL_INTERIOR -s $SERVERUL_VPN -j MASQ", ar cam trebui s-o ia. Zic eu, > dupa mintea mea de newbie. Evident ca n-o ia. Er, nu. Daca am inteles eu bine, tu vrei sa faci un tunel GRE de pe o masina din spatele unui SNAT (in fine, MASQ, whichever). De ce nu faci GRE direct de pe router? In eventualitatea in care nu vrei si nu vrei, poti incerca sa faci ceva cu ipmasqadm. Trebuie sa mark-ezi pachetele care au sursa $SERVERUL_VPN si protocolul 47 (GRE) cu ipchains, si sa le trimiti mai departe cu ipmasqadm (citeste-i manualul). Nu garantez ca va merge, n-am facut niciodata asa ceva, dar macar ai un punct de plecare. :-) -- Birzan George Violence is the last refuge of Cristian the incompetent -- Salvor Hardin --- Detalii despre listele noastre de mail: http://www.lug.ro/
