iptables a ipsec
Michal Dobes
dobes na tesnet.cz
Pátek Leden 6 11:55:42 CET 2006
Zdenek Prchal napsal(a):
> Ehm, veta obvykle nekonci carkou, ale teckou nebo otaznikem ;)
> Tyhle diagramy samozrejme znam, ale vubec nemam jistotu, jak
> skrz ne paket probiha, pokud smeruje z/do tunelu a o tom
> v tech odkazech neni ani zminka. Myslel jsem, ze jsem to popsal
> dostatecne srozumitelne ...
V pripade IPsec to zrejme funguje tak, ze paket prochazi firewalem
2x. Poprve prochazi jako ESP/AH a po zpracovani IPsec vrstvou
(je-li pripusten a dekodovan) prochazi opet znovu, pricemz prochazi
temi interfejsy, kterymi prisel ten paket osetreny IPsecem.
Z pohledu firewallingu je to trochu neprijemne v tom, ze
vlastne je takto problem rozpoznat pri druhem pruchodu, zda je to
paket dosly korektne IPsecem nebo pokus o spoofing, nebot ten
paket vlastne muze prijit jakymkoliv interfacem, kterym legalne
muze prijit i vlastni IPsec spojeni.
Asi resit nejak takto:
# znackovani pro rozpoznani IPsec paketu
$IPTABLES -t mangle -A PREROUTING -p 50 -j MARK --set-mark 0x666
$IPTABLES -t mangle -A PREROUTING -p 51 -j MARK --set-mark 0x666
# projdi frontu pro prichozi spojeni z IPsec
$IPTABLES -A INPUT -m mark --mark 0x666 -j come_from_ipsec
$IPTABLES -A FORWARD -m mark --mark 0x666 -j come_from_ipsec
# povol co muze prijit z IPsec
$IPTABLES -N come_from_ipsec
$IPTABLES -A come_from_ipsec -p 50 -j RETURN
$IPTABLES -A come_from_ipsec -p 51 -j RETURN
$IPTABLES -A come_from_ipsec -s $PRIPUSTNE_ADRESY -j ACCEPT
$IPTABLES -A come_from_ipsec -j DROP
Odchozi smer bych cekal analogicky obracene. :-)
M.
Další informace o konferenci Linux