Не понимаю я этот НАТ
Добавлено: 2007-10-09 7:53:16
Настраивал файрволл взятый с этого сайта. Все как надо мне работает.
Но возникла ситуация когда один комп локалки надо было подключить к VPN серверу одной конторы. Понял что мне поможет НАТ. В итоге после долгих изысканий получилось:
Часть конфиги файрвола:
{VPN} - адрес CiscoVPNServer-а
Все работает, но смущают последние три правила. Их пришлось сделать т.к. именно их зарубал файрволл и без них не пашет.
Но если я решу что мне нужен НАТ и для других сервисов то неужели надо будет делать типа:
Ведь по сути получится что я все разрешаю?
Но возникла ситуация когда один комп локалки надо было подключить к VPN серверу одной конторы. Понял что мне поможет НАТ. В итоге после долгих изысканий получилось:
Часть конфиги файрвола:
Код: Выделить всё
${FwCMD} add divert natd ip from 192.168.16.150 to {VPN} out via ${LanOut}
${FwCMD} add divert natd log ip from {VPN} to ${IpOut} in via ${LanOut}
${FwCMD} add allow ip from {VPN} to 192.168.16.150 in via ${LanOut}
${FwCMD} add allow ip from 192.168.16.150 to {VPN} in via ${InGP}
${FwCMD} add allow ip from {VPN} to 192.168.16.150 out via ${InGP} Все работает, но смущают последние три правила. Их пришлось сделать т.к. именно их зарубал файрволл и без них не пашет.
Но если я решу что мне нужен НАТ и для других сервисов то неужели надо будет делать типа:
Код: Выделить всё
${FwCMD} add allow ip from any to 192.168.16.150 in via ${LanOut}
${FwCMD} add allow ip from 192.168.16.150 to any in via ${InGP}
${FwCMD} add allow ip from any to 192.168.16.150 out via ${InGP} 
А тут приходится напильником дорабатывать 
Юмористы блин. Просто кто ищет конфиги в сети? Чайники типа меня. И они реально думают что все должно скопипаститься и работать. В противном случае надо бы ставить комменты что это пример конфига и что его надо доработать под конкретную топологию. Желательно было добавить подобные правила и указать: "а вот тут надо вам будет добавить разрешающие/запрещающие правила в зависимости от ваших требований". ИМХО.