Vitaly Borisov -> debian-russian@lists.debian.org @ Thu, 01 Mar 2007 11:37:57 +0300:
VB> Здравствуйте, коллеги! VB> У меня локальная сеть 10.0.1.0/24. Выход в инет через линуксовый файрвол. VB> Сейчас наши зарубежные партнёры решили подключить нас в свою сеть через VB> VPN. VB> Но подняли VPN на Cisco PIX и привезли нам. Я им выделил внутренний IP и VB> внешний из нашего диапазона, чтобы провайдер их трафик отдельно мерил. VB> Думал, так будет проще. Но их сисадмин теперь хочет проверить канал VB> пингованием, и требует, чтобы я сделал форвардинг в его сеть VB> 10.29.234.0/24 через циску. VB> Я iptables понимаю пока по минимуму ( на файрволе поставили лингейт для VB> подсчёта трафика). VB> Добавил такие правила(подсмотрел в переводе руководства): VB> iptables -t nat -A PREROUTING -p tcp -d $ALIEN_NET -j DNAT VB> --to-destination $PIX_IP VB> iptables -t nat -A POSTROUTING -p tcp --dst $PIX_IP -j SNAT --to-source VB> $FWALL_IP VB> iptables -A FORWARD -s $OUR_LAN -d $ALIEN_NET -j ACCEPT VB> iptables -A FORWARD -s $ALIEN_NET -d $OUR_LAN -j ACCEPT VB> Пинги не ходят(правда может быть из-за того, что я задал протокол tcp в VB> первых двух правилах). Ну, для начала да, если ты пишешь правило для TCP, то на ICMP оно магическим образом распространяться не будет. VB> Подскажите, пожалуйста, как добиться связи в такой конфигурации? VB> (Я, честно говоря, вообще не понимаю, как это может работать.) А для остального надо бы внятно изложить конфигурацию... -- Artem Chuprina RFC2822: <ran{}ran.pp.ru> Jabber: [EMAIL PROTECTED] Win-юзеры - это типа Win-модемов и Win-принтеров: такие же юзеры, но попроще, без мозгов и памяти на борту. http://www.livejournal.com/~dottedmag/158509.html -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]