Подскажите, пожалуйста, как пробросить трафик из локальной сети вида 192.168.0.0/24 на ТУ же машину (Debian GNU/Linux 3.1, kernel 2.6.17.4, iptables 1.3.3) так, чтобы для локального процесса(racoon) казалось, что трафик приходит из сети 10.0.0.0/24?
Данное извращение нужно для создания vpn-туннеля между линуксом(racoon+ipsec-tools) и cisco IOS. Дело в том, что киска настpоена таким образом, чтобы принимать трафик только с подсети 10.0.0.0/24, а перенумеровывать локалку нет особого желания.
Вариант с натом вида
iptables -t nat -A PREROUTING -i $int_if -d $cisco -j NETMAP --to 10.0.0.0/24
iptables -t nat -A POSTROUTING -o $int_if -s 10.0.0.0/24 -j NETMAP --to 192.168.0.0/24
отпадает, т.к. трафик минует локальные процессы и выходит в инет напрямую. (здесь int_if - внутренний интерфейс eth0, cisco - реальный адрес киски)Заранее спасибо откликнувшимся!
на котором и крутятся все эти дела.
проблема в генах, брат ;)
Алиас слабо поставить с нужным адресом?
зачем там извращаться?
попроси чтобы на обратной стороне на CISCO прописали access-list!
>зачем там извращаться?
>попроси чтобы на обратной стороне на CISCO прописали access-list!
В том-то и дело, что киска стоит в банке, где раз и навсегда настроенные политики безопасности, допускающие входящие соединения только с определенных диапазонов. Никакие уговоры/угрозы админам не помогают (даже на пиво не ломаются :(
>>зачем там извращаться?
>>попроси чтобы на обратной стороне на CISCO прописали access-list!
>
>
>В том-то и дело, что киска стоит в банке, где раз и
>навсегда настроенные политики безопасности, допускающие входящие соединения только с определенных диапазонов.
>Никакие уговоры/угрозы админам не помогают (даже на пиво не ломаются :(
>Можно прописать алиас на интерфейсе