NAT pred IPsec s pomocou IPFW

[Dan Lukes]

Marián Černý wrote:
> Ako zariadit, aby traffic s prelozenymi adresami bol dalej spracovany cez IPsec?

Jak IPFW (potazmo NAT, ktery je jeho casti) tak IPSEC maji spolecne to, 
ze sedi v ceste zpracovavaneho paketu a dle vlastni uvahy s 
prochazejicimi pakety pripadne neco provadeji.

Poradi je pevne dane tim, jak to je v kodu naprogramovane. A k tve 
smule, v ip_output() je nejprve IPSEC a pak teprve pFil.

Takze ipsec dostava paket jeste neprelozeny a v teto podobe nespadne pod 
zadne SPD a IPSEC ho tedy propusti bez zmeny.

No a pote prijde na radu NAT a ten ho prelozi.

Podle me mas smulu, to co chces FreeBSD proste normalne neumi.

Mozna by slo ukecat nejakym trikem - pouzit netgraph; 
naroutovat/naforwardovat prelozeny paket do smycky nejakeho typu 
(spojenim dvou tun interfacu, pouzit nejak loopback) na jejimz konci se 
provede zadany IPSEC; zaridit neco podobneho "ukradenim" prelozeneho 
paketu pomoci 'ipfw divert' spojeneho s jednoduchou utilitou, ktera 
ukradeny paket odeslanim zasmyckuje; pouzit 'netmap' ; ...

... ale nenapada me mometalne zadny natolik konkretni zpusob, abych ho 
dokazal predlozit jako navrh reseni..

Dan