ipsec na 2.6.3 a iptables

[Zdenek Prchal]

> Jestli jsem něco nepřehlédl, mluvíme každý o něčem jiném. My jsme tu
> probírali situaci, kdy mám dvoubodový spoj mezi A a B a chci na B povolit
> přístup z A přes VPN jen na určité služby. Problém je v tom, že v INPUTu
> jsou z A jen ESP pakety, není možné tam filtrovat komunikaci, která je
> pomocí nich přenášena. Takže můžu povolit buď všechno nebo nic.
>
Aha, sorry, nepostrehl jsem, ze se jedna o provoz z tunelu. Nicmene, kdyz
si povesim LOG target na vstupni interface do INPUTu, tak to vypada, ze
chyta oboje (nejdriv z nej vypadne ESP paket a pak znovu jiz dekryptovany
paket - 195.47.92.87 je lokalni konec tunelu):

 SRC=195.47.92.6 DST=195.47.92.87 LEN=112 TOS=0x00 PREC=0x00 TTL=61 ID=31787
PROTO=ESP SPI=0x8c4809db
 SRC=195.47.92.6 DST=195.47.92.87 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=63271
DF PROTO=TCP SPT=56042 DPT=22 WINDOW=32440 RES=0
 SRC=195.47.92.6 DST=195.47.92.87 LEN=104 TOS=0x00 PREC=0x00 TTL=61 ID=31788
PROTO=ESP SPI=0x8c4809db
 SRC=195.47.92.6 DST=195.47.92.87 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=63272
DF PROTO=TCP SPT=56042 DPT=22 WINDOW=32440 RES=0
 SRC=195.47.92.6 DST=195.47.92.87 LEN=104 TOS=0x00 PREC=0x00 TTL=61 ID=31789
PROTO=ESP SPI=0x8c4809db
 SRC=195.47.92.6 DST=195.47.92.87 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=63273
DF PROTO=TCP SPT=56042 DPT=22 WINDOW=32440 RES=0
 SRC=195.47.92.6 DST=195.47.92.87 LEN=128 TOS=0x00 PREC=0x00 TTL=61 ID=31790
PROTO=ESP SPI=0x8c4809db
 SRC=195.47.92.6 DST=195.47.92.87 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=63274
DF PROTO=TCP SPT=56042 DPT=22 WINDOW=32440 RES=0

takze by to IMHO jit chytat melo ...

	Zdenek Prchal