Я обнаружил, что сегодня днем меняю старый брандмауэр для клиента. Я настраиваю их новый межсетевой экран IPCop (1.4.21), установлен аддон Zerina OpenVPN.
Что мне нужно сделать: есть три сетевых интерфейса, в настоящее время настроенных как красный (WAN), зеленый (LAN, 192.168.20.0/24) и оранжевый (удаленная сеть 10.1.20.0/24). Оранжевый интерфейс - это прямая оптоволоконная связь с другой организацией.
Простое описание: трафик и сети, по-видимому, настроены правильно на этом этапе, но у меня есть много (более 150) конкретных IP-адресов в локальной сети, которые при доступе к ресурсам в сети 10.1.20.x необходимо изменить, чтобы они отображались приходить из сети 10.1.20.0/24 (и возвращать правильно доставленный трафик). Маршрутизация на дальней стороне была настроена ранее и должна быть в порядке, но мне нужно перенаправить любые пакеты, приходящие на эти IP-адреса, чтобы они попали в их надлежащее место назначения.
Адресация фиксированная и предсказуемая (например, 192.168.20.125 -> 10.1.20.125). Мне нужно вставить любые правила, которые у меня есть, в набор правил IPCop через /etc/rc.local Я знаю, я просто не уверен, как мне это структурировать. Существуют цели CUSTOMOUTPUT и CUSTOMINPUT, которые в настоящее время состоят только из одного правила, перенаправляющего пакеты на цели OVPNOUTPUT / OVPNINPUT, поэтому я предполагаю, что мне следует вставить правило, соответствующее исходящим пакетам, предназначенным для сети 10.1.20.x и перенаправляющим на новая цель (может быть названа TO-ORANGE) и правило в верхней части CUSTOMINPUT, которое перенаправляет на цель FROM-ORANGE. Для этих целей у меня будут правила, которые выполняют сопоставление и изменение IP-адресов.
Я правильно подхожу к этому? Если так, то я не очень знаком с mangle и был бы признателен за примеры того, как написать эту перезапись исходного IP. Если нет, как бы вы посоветовали это сделать?
TIA!
edit: я дополнительно замечаю, что таблица nat имеет цели CUSTOMPREROUTING и CUSTOMPOSTROUTING, я думаю, что в качестве альтернативы я мог бы опубликовать там правила ....
http://netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html
Кажется, это говорит мне, что все, что вам нужно сделать, это добавить дополнительное правило маскарада в цепочку CUSTOMPOSTROUTING.
iptables -t nat -A CUSTOMPOSTROUTING -o <dev-of-10-network> -j MASQUERADE