IPsec a iptables

[Pavel Lisý]

Michal Dobes píše v Ne 24. 09. 2006 v 20:04 +0200:
> Pavel Lisý napsal(a):
> > iptables -t nat -A POSTROUTING -s 192.168.5.40/32 \
> >    -d 192.168.20.10/24 -j SNAT --to-source 10.0.0.1
>
> Neni podstata problemu v tom /32? Dle popsane situace bych tam
> ocekaval 192.168.5.0/24, aby to platilo na celou sit.
> Takhle to SNATuje jen tu jednu IP a ne cely segment. Pokud teda
> nejde o testovaci adresu z lokalni site na ktere to ladite. :-)

Ne to je pouze moje chyba přepisu konfigurace, mám to celé ve skriptu v
proměnných a navíc jsem pro jistotu mírně změnil IP adresy oproti těm
skutečným, tak jsem se upsal, když jsem to psal do mailu.

mám tam správně:
iptables -t nat -A POSTROUTING -s 192.168.5.40/24 \
    -d 192.168.20.10/24 -j SNAT --to-source 10.0.0.1

> > Nenapadá vás někoho, jestli není něco v těchto úvahách špatně? 
> 
> Dalsi misto zrady muzou byt spatne definovane bezpecnostni politiky
> pro IPsec vrstvu. Copak tam mate?

# outbound
spdadd 10.0.0.1 192.168.20.10/24 any -P out ipsec
   esp/tunnel/212.yyy.yyy.yyy-195.zzz.zzz.zzz/require;
# inbound
spdadd 192.168.20.10/24 10.0.0.1 any -P in ipsec
   esp/tunnel/195.zzz.zzz.zzz-212.yyy.yyy.yyy/require;

Nevím, zda bych tam neměl mít místo 10.0.0.1 spíš adresu místní sítě
(tedy 192.168.5.40/24), ale jednak nevím, jak to vlasně ipsec vidí, když
je tam ještě maskování přes iptables. Navíc je v politikách na druhé
straně nastaveno 10.0.0.1 (protože adresa naší sítě je podmnožinou
jejich sítě). Musí se to shodovat, nebo je to úplně jedno?

Pavel Lisý


-- 
Pavel Lisý <pali na tmapy.cz>