Проброс трафика pptp через ipfw kernel nat
Подгрузим модуль:
kldload alias_pptpНапишем правила:
${ipfw} nat 20 config ip ${ip} reset same_ports deny_in unreg_only \
redirect_proto gre 192.168.111.4 ${ip} redirect_port tcp 192.168.111.4:1723 1723 log
${ipfw} add 130 nat 20 gre from not "table(2)" to ${ip} via ${wanif}
${ipfw} add 131 nat 20 gre from 192.168.111.4 to not "table(2)" via ${wanif}
${ipfw} add 133 nat 20 ip from not "table(2)" to ${ip} 1723 via ${wanif}
${ipfw} add 134 nat 20 ip from 192.168.111.4 1723 to not "table(2)" via ${wanif}
Где {$ip} - внешний ип, ${wanif} - имя внешнего интерфейса, 192.168.111.4 - внутренний сервер с впн, table 2 - список ип локальных сетей, которые натить не надо.
Проверим:
gw# ipfw nat show . . . nat 20: icmp=0, udp=0, tcp=5, sctp=0, pptp=3, proto=1, frag_id=0 frag_ptr=0 / tot=9 . . .Посмотрим сколько памяти кушает alias:
gw# vmstat -m | grep alias | awk '{print $3}'
1333K
Комментарии (2)
garic:
окт 18, 2012 at 11:45
/sbin/ipfw add 07039 allow all from 192.168.1.0/24 to any (или table1)
/sbin/ipfw add 07040 allow all from any (или table1) to 192.168.1.0/24
/sbin/ipfw add 07041 skipto 60000 all from 192.168.1.0/24 to any (или table1)
/sbin/ipfw add 07042 skipto 60000 all from any (или table1) to 192.168.1.0/24
Тоже пробрасывает мимо ната, только на pptp не пробовал :)
makky:
ноя 03, 2012 at 08:49
Приведенный набор правил более универсален, но статично описанные правила, работают более понятно для конечного анализа.
Добавление комментариев закрыто.