ipsec na 2.6.3 a iptables

[Michal Kubecek]

On Tue, Mar 16, 2004 at 03:00:04PM +0100, Michal Kubecek wrote:
> 
> Když jsem posílal cokoli z A na Be (vnější adresu), jak tcpdump, tak
> netfilter (i když jsem nastavil logování všech paketů v chainu INPUT)
> viděli pouze ESP pakety (a samozřejmě nějaké to ISAKMP). Při komunikaci
> z A na C byla ale vidět (na B) normální komunikace (ICMP, SSH, HTTP,
> NFS). Jak je to možné, to netuším.

Takže doplnění, je to o trochu složitější: při tunelování vidím v chainu
FORWARD všechny pakety v normální (nešifrované) podobě. Při přímé
komunikaci mezi koncovými body tunelu vidím v chainu INPUT pouze ESP
(resp. ISAKMP) a v chainu OUTPUT jsou normální pakety (nešifrované).

To ovšem nic nemění na tom, že je problém, jak filtrovat příchozí provoz;
netfilterem to asi nepůjde. Takže bude potřeba rozlišovat až na úrovni
jednotlivých aplikací. Spoofingu se není třeba bát, protože pokud při
definování příslušné security policy dáte 'require', mělo by to znamenat,
že jádro stejně nepřijme jakýkoli "normální" paket s příslušnou zdrojovou
IP adresou. Problematická je ale situace, kdy mezi koncovými body někdy
VPN je a někdy není. To šlo s FreeS/WAN podstatně pohodlněji.

                                                           Michal Kubeček