iptables a ipsec
Michal Dobes
dobes na tesnet.cz
Pátek Leden 6 14:35:48 CET 2006
Zdenek Prchal napsal(a):
> Na tom se mi prave trochu nelibi to "zrejme" ;) ale OK.
> Rekneme konkretne, ze je to paket z LAN, ktery pujde do
> tunelu. Projde nezakodovany skrz PREROUTING, zrejme (?)
> skrz FORWARD, ale POSTROUTINGem bych rekl, ze uz ne.
> Zakodovany pujde zrejme pres OUTPUT a dal je to jasne.
> Opacne prijde zakodovany a skonci standardne v INPUT.
> Dekodovany se objevi nejdriv kde? Ve FORWARD? Nebo uz
> v PREROUTING?
Tak konktretne. Paket forwardovany z lokalni site a mirici do tunelu
projde nekodovane PREROUTING a FORWARD, pak jde uz kodovane jen
POSTROUTING.
Paket forwardovany z tunelu do lokalni site projde kodovane PREROUTINGEM
a INPUTEM a pak dekodovane PREROUTING, FORWARD, POSTROUTING.
Paket vznikly na stroji vytvarejici IPsec tunel a mirici do tunelu
projde nekodovane OUTPUT, pak jiz kodovane POSTROUTING.
Paket prichazejici z IPsec tunelu a koncici na IPsec brane projde
kodovane PREROUTING a INPUT, potom nekodovane PREROUTING a INPUT.
> Hm, kde je receno, ze ty znacky preziji ipsec kodovani/dekodovani?
> A nenarusi se tou znackou integrita ipsec paketu?
Preziji, nenarusi. :-)
M.
Další informace o konferenci Linux