今天下午,我发现自己正在为客户取代旧的防火墙。 我正在configuration新的IPCop防火墙(1.4.21),安装了Zerina OpenVPN插件。
我需要做的是:有三个networking接口,当前设置为红色(WAN),绿色(LAN,192.168.20.0/24)和橙色(远程networking10.1.20.0/24)。 橙色界面是直接连接到另一个组织的光纤连接。
简单的描述:stream量和networking在这一点上看起来是正确configuration的,但是我在局域网上有很多(150+)个特定的IP地址,当访问10.1.20.xnetworking上的资源时,需要修改以显示来自10.1.20.0/24networking(并返回正确传送的stream量)。 在远端的路由configuration较早,应该没问题,但我需要redirect到目的地为这些IP的任何数据包结束在其正确的目的地。
寻址是固定的和可预测的(即192.168.20.125 – > 10.1.20.125)。 我需要通过/etc/rc.local插入任何规则到IPCop规则集我知道,我只是不知道应该如何构造这个。 有CUSTOMOUTPUT和CUSTOMINPUT目标,目前只是由单个规则将数据包redirect到OVPNOUTPUT / OVPNINPUT目标,所以我猜我应该插入一个匹配去往10.1.20.xnetworking的出站数据包的规则,并redirect到一个新的目标(也许称为TO-ORANGE)和CUSTOMINPUT顶部的一个redirect到FROM-ORANGE目标的规则。 在这些目标下,我会制定IP匹配和修改的规则。
我正在接近这个权利? 如果是这样,我不熟悉mangle,并会欣赏看到如何编写源IP重写的例子。 如果没有,你会如何build议这样做?
TIA!
编辑:我另外注意到NAT表有CUSTOMPREROUTING和CUSTOMPOSTROUTING目标,我想我可以在那里发布规则….
http://netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html
这似乎告诉我,你所需要做的就是添加一个额外的伪装规则到CUSTOMPOSTROUTING链。
iptables -t nat -A CUSTOMPOSTROUTING -o <dev-of-10-network> -j MASQUERADE