[freebsd] редирект транзитного трафика
Дружин Александр Васильевич
Alexander.Druzhin at raz.ru
Mon May 18 18:46:17 EEST 2020
From: Eugene Grosbein [mailto:eugen at grosbein.net]
Sent: Monday, May 18, 2020 6:20 PM
>18.05.2020 19:21, Дружин Александр Васильевич пишет:
>
>> Есть маршрутизатор под FreeBSD 11.2, точнее, VPN-концентратор.
>> Мне нужно сделать редирект входящего декапсулированного трафика с одного на другой адрес внутри локальной сети.
>> Ну и произвести обратные преобразования для соответствующего исходящего трафика.
>> Ну, т.е. некий аналог nat redirect_port, но для транзитного трафика.
>> Я так понял, это можно устроить с помощью ng_patch, но для меня это, признаться, сложновато, а мне надо бы побыстрее решить вопрос.
>> Есть какие-то варианты попроще?
>
> Собственно nat redirect_port и есть, он всегда выполняется именно для транзитного трафика.
> А в чём, собственно, проблема? Инстансов ipfw nat можно настроить сколько угодно, транслировать трафик ipfw nat может для любых IP-адресов, необязательно назначенных самому концентратору.
Собственно, я и попробовал, прежде чем писать, хотя и полагал, что трансляция работает только для адресов на nat-интерфейсе.
Не вышло.
Но раз так, еще поковыряюсь.
> Из man ipfw:
>
> The nat configuration command is the following:
>
> nat nat_number config nat-configuration
>
> The following parameters can be configured:
>
> ip ip_address
> Define an ip address to use for aliasing.
>
> Так что:
>
> ipfw disable one_pass
> ipfw nat 100 config ip 1.1.1.1 redirect_port tcp 192.168.0.1:80 500
> ipfw add 40 nat 100 tcp from any to 1.1.1.1 500 in recv $ext_if
> ipfw add 50010 nat 100 tcp from 192.168.0.1 80 to any out
>
> Это в том случае, если VPN не IPSec, в случае с IPSec посложнее.
Используются ipsec vti и gre поверх ipsec.
Это проблема?
Пробовал натить на gre.
More information about the freebsd
mailing list