iptables a ipsec
Zdenek Prchal
prchal na vtdata.cz
Pátek Leden 6 13:42:25 CET 2006
>
> V pripade IPsec to zrejme funguje tak, ze paket prochazi
> firewalem 2x. Poprve prochazi jako ESP/AH a po zpracovani
> IPsec vrstvou (je-li pripusten a dekodovan) prochazi opet
> znovu, pricemz prochazi temi interfejsy, kterymi prisel ten
> paket osetreny IPsecem.
Na tom se mi prave trochu nelibi to "zrejme" ;) ale OK.
Rekneme konkretne, ze je to paket z LAN, ktery pujde do
tunelu. Projde nezakodovany skrz PREROUTING, zrejme (?)
skrz FORWARD, ale POSTROUTINGem bych rekl, ze uz ne.
Zakodovany pujde zrejme pres OUTPUT a dal je to jasne.
Opacne prijde zakodovany a skonci standardne v INPUT.
Dekodovany se objevi nejdriv kde? Ve FORWARD? Nebo uz
v PREROUTING?
> Asi resit nejak takto:
> # znackovani pro rozpoznani IPsec paketu $IPTABLES -t mangle
> -A PREROUTING -p 50 -j MARK --set-mark 0x666 $IPTABLES -t
> mangle -A PREROUTING -p 51 -j MARK --set-mark 0x666
>
> # projdi frontu pro prichozi spojeni z IPsec
> $IPTABLES -A INPUT -m mark --mark 0x666 -j come_from_ipsec
> $IPTABLES -A FORWARD -m mark --mark 0x666 -j come_from_ipsec
>
Hm, kde je receno, ze ty znacky preziji ipsec kodovani/dekodovani?
A nenarusi se tou znackou integrita ipsec paketu?
Ja sice tohle primo nepotrebuju, zajimal jsem se o to, protoze jsem
potreboval vyresit nejake problemy s tunelem, a jelikoz me tcpdump
nepomohl, tak jsem chtel do nekterych chainu povesit LOG target,
ale k tomu jsem chtel nejdriv vedet, ve kterych chainech mam jake
pakety ocekavat, abych nehonil duchy ;)
Zdenek Prchal
Další informace o konferenci Linux