[Pluto-security] Impossibile nattare ed impossibile non
nattare, come faccio?!?
Roberto Polli
robertopolli at tiscali.it
Mon Mar 17 22:03:10 CET 2003
No, forse mi sono spiegato male... questa volta utilizzerò gli IP realmente
coinvolti nella situazione, in modo da non fare confusiona tra pubblici e
privati.
Ho uno slot di 8 IP pubblici...
81.x.x.121 assegnato al router
81.x.x.122 assegnato al firewall
81.x.x.123 assegnato al web server
81.x.x.124 assegnato al servizio "mappe"
81.x.x.125 assegnato al servizio "fleet"
81.x.x.126 assegnato al VPN client
81.x.x.127 che è l'IP di broadcast
ora:
la connessione VPN arriva da internet, passa attraverso il 121, arriva al
122 e dovrebbe poi essere inoltrata al 126. Il problema è proprio che i
firewall avrà n schede di rete, delle quali 2 interesseranno il percorso
della VPN. Ora, fino al router nessun problema, dal router all'eth0 del
firewall (122) nessun problema... il problema sussiste dall'eth1 del
firewall (IP privato?!?!?) all'interfaccia pubblica del VPN client (126).
Se mettessi la regola da te suggerita (iptables -t nat -I POSTROUTING -i
eth1 -o eth0 ! -d 172.16.32.2 -j SNAT --to-source 10.1.1.2) ho come
l'impressione che mi perderei tutti i pacchetti IPSec che non sono
tunnellizzati in UDP o TCP, ovvero gli ESP, assolutamente non nattabile (a
quanto pare)
Questo è quello che succederebbe (credo)
Il pacchetto esp arriva con la magliettina numero 194.x.x.183 e viene
instradato su 81.x.x.121. Tiene la sua magliettina fino all' 81.x.x.122 dove
però è costretto a cambiarla, perchè non può percorrere un altro tratto con
l'IP pubblico, e quindi prende la magliettina numero 192.168.100.1, che però
non può comunicare direttamente con l'IP pubblico del VPN Client e a questo
punto entra in scena il NAT. Solo che all'ESP il NAT non è simpatico, allora
quando lo vede si rivolge agli altri pacchetti e dice "no, io non vengo" e
qui io piango.
Quando mai mi sono andato ad imbarcare in questa impresa...
-----Original Message-----
From: pluto-security-bounces at lists.pluto.linux.it
[mailto:pluto-security-bounces at lists.pluto.linux.it] On Behalf Of Tom aka
'Dido'
Sent: lunedì 17 marzo 2003 11.27
To: Sicurezza in rete
Subject: Re: [Pluto-security] Impossibile nattare ed impossibile non
nattare, come faccio?!?
Ciao!
Se usi IPSec, il problema è che non puoi nattare.... Tu dici che i tuoi
client hanno ip pubblico. Perchè questo? Non dovrebbe.....Se ho capito
bene, i client non sono dei Road Warrior!
Per risolvere il problema del nat puoi sempre dire di nattare le
connessioni dirette ovunque tranne che verso gli ip dell'altro capo della
VPN.
Io lascerei ai client l'IP privato, poi metterei una regola del genere:
iptables -t nat -I POSTROUTING -i eth1 -o eth0 ! -d 172.16.32.2 -j SNAT
--to-source 10.1.1.2
(ok, la regola non è otimizzata, ma è tanto per farci capire..) In pratica,
natto tutti i pacchetti uscenti, tranne che quelli diretti al VPN Conc...
Spero comunque di avere capito il problema....
Dido
>I servizi che devono passare sono questi:
>
>Service Protocol
>PPTP Control Connection 6 (TCP)
>PPTP Tunnel Encapsulation 47 (GRE)
>ISAKMP/IPSEC Key Management 17 (UDP)
>IPSEC Tunnel Encapsulation 50 (ESP)
>IPSEC NAT Transparency 17 (UDP)
>
>Esiste un modo per aggirare questo problema?!? Aiutatemi...
>
>Grazie, Roberto
_______________________________________________
pluto-security mailing list
pluto-security at lists.pluto.linux.it
http://lists.pluto.linux.it/mailman/listinfo/pluto-security
More information about the pluto-security
mailing list