ipsec na 2.6.3 a iptables

[Michal Kubecek]

On Tue, Mar 16, 2004 at 02:40:36PM +0100, Pavel Spalek wrote:
> Mohl byste prosim nekolika slovy (pokud je to mozne) popsat kudy ten
> paket prochazi a jestli uz je rozbaleny? Zajime me spise tunnel mode,
> ale zajimave to muze byt i pro transport. Jestli si dobre vykladam co
> jste napsal, tak to znamena, ze staci kdyz ve FORWARD povolim pakety
> ze site na druhem konci tunelu? Ale dokazu to pak odlisit od
> spoofingu? A da se u toho rozbaleneho paketu filtrovat podle
> input/ouput device? Muzu se vubec v iptables dostat k nerozbalenemu
> paketu? (to nechapu -- ze by nerozbaleny sel do INPUTu a pak
> rozbaleny do FORWARD?)

Odpoledne to zkusím otestovat podrobněji, ale když jsem to zkoušel poprvé,
chovalo se to tak, jak jsem popisoval. Konfigurace byla tato:

   A  --- (inet) --- B --- (eth) --- C

A je počítač na hostingu, B je domácí počítač, C je druhý domácí počítač,
který je s ním propojen crossover kabelem. Mezi A (SuSE 8.2, 2.4.21,
FreeS/WAN) a B (SuSE 9.0, 2.6.4, nativní IPsec) jsem udělal dva tunely,
jeden v transport modu mezi nimi, druhý v tunnel modu pro spojení A
a lokální sítě (s privátními adresami), kde je vnitřní rozhraní B a C.

Když jsem posílal cokoli z A na Be (vnější adresu), jak tcpdump, tak
netfilter (i když jsem nastavil logování všech paketů v chainu INPUT)
viděli pouze ESP pakety (a samozřejmě nějaké to ISAKMP). Při komunikaci
z A na C byla ale vidět (na B) normální komunikace (ICMP, SSH, HTTP,
NFS). Jak je to možné, to netuším.

                                                        Michal Kubeček