IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Сети (http://www.imho.ws/forumdisplay.php?f=145)
-   -   Переброс TCP соединения (http://www.imho.ws/showthread.php?t=133099)

Hubbitus 10.06.2008 12:27
Переброс TCP соединения
 
Всех приветствую.

Есть ситуёвина:

С одного сервера (IP - $ServIP) , необходимо перебросить одно TCP-соединение на заданный комп ( $ServHelper ), причём так, чтобы удалённая сторона ( $ServClient ), с которой он работает, об этом не знала (ну то есть думал что что весь инициатор трафика сервер $ServIP).

На сервере - Linux, iptables. Root'овый доступ разумеется имеется :) .

В общем, делаю так ( ferm, но думаю все и так понятно ):
Код:
chain FORWARD {
        interface $INET{
        proto ( tcp icmp ) saddr ( $ServClient $ServHelper ) ACCEPT;
        }
}

table nat {
        chain PREROUTING interface $INET daddr $WINIP{
                proto tcp saddr ( $ServHelper ) DNAT to-destination $ServClient;
                proto tcp saddr ( $ServClient ) DNAT to-destination $ServHelper;
        }
        chain POSTROUTING outerface $INET saddr $ServHelper SNAT to-source $ServIP;
}
Ну у меня еще подобная схема в другой сети, куда соединение перебрасывается, но это не суть.

Так вот, это все прекрасно работает.

НО, как только я в $ServClient вписываю айпишник, который доступен по IPSec - хрен, все сразу мертворожденное. Причем, смотрел tshark'ом, вроде на $ServClient все форвардится, а вот его ответы не возвращаются...
Может кто-нибудь подсказать в чем может быть дело? IPSec так не получится зарулить?

Мне кажется что сервер должен просто НАТить и ему должно быть пофигу IPSec дальше или нет. Дело в том, что IPSec туннель просто он же держит (racoon).
Но факт остаётся фактом - либо что-то дополнительное надо учесть, либо еще что, но просто так, сменив айпиху - не работает.
У меня есть пуру подозрений:
  1. Могут быть проблемы с сетевыми уровнями и очерёдностью обработки. Что раньше происходит - трансляция адресов, или шифрование IPSec?
  2. Еще есть предположение, что в шифрованном туннеле, может не совпадать айпишник, тогда, видимо, его надо на каком-то другом уровне сравнивать, или на другом интерфейсе даже...

В общем, очень прошу подсказать кого-то, кто со всем этим сталкивался - переброс позарез нужно организовать.


Часовой пояс GMT +4, время: 08:17.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.