Re: [obsdfr-misc] pf et nat

[Cabillot Julien <julien AT sdv POINT fr>]

On Mon, 30 Nov 2009 11:13:59 +0100
Raphael Berlamont <raphael POINT berlamont AT raphux.com> wrote:

> Le lundi 30 novembre 2009 Ã 06:21 +0100, Cabillot Julien a Ãcrit :
> > Ok je vais simplifier c'est vrai que c'est bordel :
> > [192.168.0.2] --- LAN --- [192.168.0.1 / 192.168.116.10] --- VPN
> > --- [192.168.116.9] --- LAN --- [X.X.X.X] desktop
> > passerelle                                   serveur
> > vpn             serveur destination
> >                          + client vpn
> > 
> > Sur ma passerelle pas de soucis une fois le vpn montÃ, j'ai accÃs
> > au serveur de destination. Par contre depuis le desktop je n'arrive
> > pas à la joindre. Voici ma rÃgle :
> >   match out log on re0 from 192.168.0.2 to X.X.X.X nat-to
> > 192.168.116.10 (j'ai aussi essayà en remplaÃant par tun0 mais Ãa
> > change rien) Le truc c'est qu'en faisant un tcpdump de pflog0 je
> > vois bien le paquet passer par tun0, mais il n'est pas nattÃ
> > (forcement Ãa marche moins bien).
> 
> J'ai du mal avec la syntax que tu utilises. Peux tu essayer ceci :
> ==================
> # NAT INTERNET
> nat log (all) on $wan_if from !($wan_if) \
> 	to any \
> 	-> ($wan_if) static-port
> # NAT VPN
> nat log (all) on tun0 from !(tun0) \
> 	to { X.X.X.X/M } \
> 	-> (tun0)
> ==================
> 
> Laisse le "(all)" juste le temps de dÃbugger ce qu'il se passe. Ne pas
> oublier de l'enlever ensuite, car les logs peuvent rapidement
> exploser.

La syntaxe c'est pas moi qu'ai choisi hein, c'est des changements en
-current.
J'essayerais la syntaxe de chez moi aprÃs,
Merci.

-- 
Julien Cabillot
Technicien Unix
SdV PlurimÃdia <http://www.sdv.fr>
Tel: +33 (0)3 88 75 80 50