IPCop包损坏

Question

今天下午，我发现自己正在为客户更换旧防火墙。我正在配置他们的新IPCop防火墙(1.4.21)，安装了Zerina OpenVPN插件。

我需要做的是:有三个网络接口，目前设置为红色(WAN)、绿色(LAN，192.168.20.0/24)和橙色(远程网络10.1.20.0/24)。橙色界面是与另一个组织的直接光纤连接。

简单描述:此时流量和网络似乎配置得当，但局域网上有许多(150+)特定的IP，在访问10.1.20.x网络上的资源时，需要对这些IP进行破坏，使其看起来来自10.1.20.0/24网络(并返回正确传递的流量)。远端的路由是较早配置的，应该是很好的，但是我需要重定向任何注定要让这些up到达正确目的地的数据包。

寻址是固定的和可预测的。( -> 10.1.20.125)我需要通过/etc/rc.local将我所拥有的任何规则插入到IPCop规则集中，我只是不确定该如何构建这个规则。有CUSTOMOUTPUT和CUSTOMINPUT目标，这两个目标目前都只是由将数据包重定向到OVPNOUTPUT/OVPNINPUT目标的单个规则组成，因此我猜我应该插入一个规则匹配发送到10.1.20.x网络的出站数据包，并重定向到一个新的目标(可能被称为橙色)和CUSTOMINPUT顶部的一个规则，该规则重定向到一个从-橙色目标。在这些目标下，我会有做IP匹配和破坏的规则。

我接近这个方向了吗？如果是这样的话，我对mangle就不太熟悉了，希望能看到如何编写源代码-IP重写的例子。如果没有，你怎么建议这样做？

蒂娅！

编辑:我还注意到nat表有CUSTOMPREROUTING和CUSTOMPOSTROUTING目标，我想我也可以在那里发布规则.

Answer 1

http://netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html

这似乎告诉我，您所需要做的就是在CUSTOMPOSTROUTING链中添加一个额外的伪装规则。

iptables -t nat -A CUSTOMPOSTROUTING -o <dev-of-10-network> -j MASQUERADE