iptables a ipsec

[Michal Dobes]

Michal Kubecek napsal(a):
>>Z pohledu firewallingu je to trochu neprijemne v tom, ze vlastne je
>>takto problem rozpoznat pri druhem pruchodu, zda je to paket dosly
>>korektne IPsecem nebo pokus o spoofing, nebot ten paket vlastne muze
>>prijit jakymkoliv interfacem, kterym legalne muze prijit i vlastni
>>IPsec spojeni.
> 
> Problém to není, protože pokud nastavíte příslušnou politiku (SPD)
> s "require", systém prostě nepřijme paket s odpovídající zdrojovou a
> cílovou IP adresou, pokud nebyl zapouzdřen pomocí ESP.
> 

Ano, ale to platí za předpokladu, že mám politiky pevně dané a známé
předem. Jestliže podporuji mobilní klienty s neznámými adresami
a politiky se vytvářejí dynamicky, tak už problém může být.
Klasická situace jsou Microsoftí road warriors s VPNkem nad
L2TP+IPsec a jim podobní.

M.