iptables a ipsec

[Michal Kubecek]

On Fri, Jan 06, 2006 at 11:55:42AM +0100, Michal Dobes wrote:
> Z pohledu firewallingu je to trochu neprijemne v tom, ze vlastne je
> takto problem rozpoznat pri druhem pruchodu, zda je to paket dosly
> korektne IPsecem nebo pokus o spoofing, nebot ten paket vlastne muze
> prijit jakymkoliv interfacem, kterym legalne muze prijit i vlastni
> IPsec spojeni.

Problém to není, protože pokud nastavíte příslušnou politiku (SPD)
s "require", systém prostě nepřijme paket s odpovídající zdrojovou a
cílovou IP adresou, pokud nebyl zapouzdřen pomocí ESP.

							  Michal Kubeček