iptables a ipsec
Michal Dobes
dobes na tesnet.cz
Čtvrtek Leden 12 23:07:22 CET 2006
Michal Kubecek napsal(a):
>>Z pohledu firewallingu je to trochu neprijemne v tom, ze vlastne je
>>takto problem rozpoznat pri druhem pruchodu, zda je to paket dosly
>>korektne IPsecem nebo pokus o spoofing, nebot ten paket vlastne muze
>>prijit jakymkoliv interfacem, kterym legalne muze prijit i vlastni
>>IPsec spojeni.
>
> Problém to není, protože pokud nastavíte příslušnou politiku (SPD)
> s "require", systém prostě nepřijme paket s odpovídající zdrojovou a
> cílovou IP adresou, pokud nebyl zapouzdřen pomocí ESP.
>
Ano, ale to platí za předpokladu, že mám politiky pevně dané a známé
předem. Jestliže podporuji mobilní klienty s neznámými adresami
a politiky se vytvářejí dynamicky, tak už problém může být.
Klasická situace jsou Microsoftí road warriors s VPNkem nad
L2TP+IPsec a jim podobní.
M.
Další informace o konferenci Linux