In Slackware e un utilitar : iptunnel (probabil si in alte distro-uri) ex: Primul router: eth0 (10.0.0.1) si eth1 (80.0.0.1) Al doilea: eth0 (10.1.1.1) si eth1(80.1.1.1)
Facem un tunel GRE intre netul 10.0.0.0/24 si netul 10.1.1.0/24. -------------------- Pe primul router: # insmod ipgre # iptunnel add tun0 mode gre remote 80.1.1.1 # ifconfig tun0 10.0.0.1 netmask 255.255.255.0 # route add -net 10.1.1.0 netmask 255.255.255.0 gw 10.0.0.1 dev tun0 -------------------- Pe al doilea: # insmod ipgre # iptunnel add tun0 mode gre remote 80.0.0.1 # ifconfig tun0 10.1.1.1 netmask 255.255.255.0 # route add -net 10.0.0.0 netmask 255.255.255.0 gw 10.1.1.1 dev tun0 de pe primul router: # ping 10.1.1.1 si trebuie sa mearga. La fel si de pe al doilea: ping 10.0.0.1 Daca se foloseste pe vreun router ipchains + masquerade, atunci pe acel router, trebuie pusa o regula de RETURN pentru netul care se tuneleaza, inainte de masquerade. Adica: De exemplu , daca pe routerul 1 se foloseste ipchains + masquerade: # ipchains -I forward -s 10.1.1.0/24 -d 0/0 -j RETURN Asta deoarece, ipchains-ul face masquerading, si dupa il trimite prin tunel. Nu la fel se intampla cu iptables. Daca se foloseste iptables nu mai aveti nevoie de "RETURN". [EMAIL PROTECTED] wrote: >salut > >revin cu obsesia mea despre tunele & iptables >de fapt de data asta doresc doar o confirmare, ca se pare ca in sfarsit am >cam inteles cum stau lucrurile ( sau asa sper ) > >se da un tunel ( sa zicem gre ) facut intre gw1 si gw2 >in spatele gw-urilor stau calculatoarele host1 si host2 > >din cate am inteles din materialele pe care le-am citit, eu o sa vad >intr-un firewall iptables, pentru un pachet de la host1 la host2 - pe >calculatorul gw2 urmatoarele "reguli" sa zicem: > >- from gw1 to gw2 proto gre - insa nu sunt sigur daca e pe INPUT sau pe >FORWARD ( teoretic pe INPUT deoarece pachetul se opreste in gw - ca el >contine un pachet incapsulat asta e alta mancare de peshte ) > >- from host1 to host2 proto tcp/udp/icmp/whatever pe chainul de FORWARD, >eventual cu -i $interfata_gre pentru mai mult control > >restul de reguli se deduc lmc, daca astea sunt corecte > >Alex > >ps: prea m-am obisnuit cu ipchains, si dupa cateva luni de cand incerc sa >scap de el nu reusesc la kestii de finete; chiar, unde pot gasi pe net o >schema cat mai completa pentru graficul iptables - una mai complexa decat >cea care apare in howto, cea doar cu input, output, forward, si in care sa >apara cel putin prerouting si postrouting plus ce mai poate fi pe acolo > > >--- >Pentru dezabonare, trimiteti mail la >[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. >REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ > > > --- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
