Marián Černý wrote:
Ako zariadit, aby traffic s prelozenymi adresami bol dalej spracovany cez IPsec?


Jak IPFW (potazmo NAT, ktery je jeho casti) tak IPSEC maji spolecne to, ze sedi v ceste zpracovavaneho paketu a dle vlastni uvahy s prochazejicimi pakety pripadne neco provadeji.

Poradi je pevne dane tim, jak to je v kodu naprogramovane. A k tve smule, v ip_output() je nejprve IPSEC a pak teprve pFil.

Takze ipsec dostava paket jeste neprelozeny a v teto podobe nespadne pod zadne SPD a IPSEC ho tedy propusti bez zmeny.

No a pote prijde na radu NAT a ten ho prelozi.

Podle me mas smulu, to co chces FreeBSD proste normalne neumi.

Mozna by slo ukecat nejakym trikem - pouzit netgraph; naroutovat/naforwardovat prelozeny paket do smycky nejakeho typu (spojenim dvou tun interfacu, pouzit nejak loopback) na jejimz konci se provede zadany IPSEC; zaridit neco podobneho "ukradenim" prelozeneho paketu pomoci 'ipfw divert' spojeneho s jednoduchou utilitou, ktera ukradeny paket odeslanim zasmyckuje; pouzit 'netmap' ; ...

... ale nenapada me mometalne zadny natolik konkretni zpusob, abych ho dokazal predlozit jako navrh reseni..

Dan


--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l

Odpovedet emailem