IPsec a iptables
Michal Dobes
dobes na tesnet.cz
Neděle Září 24 22:41:41 CEST 2006
Pavel Lisý napsal(a):
> 1. Jsou pakety do ipsec tunelu posílané až poté, co projdou přes
> iptables POSTROUTING?
Tak jsem nasel svoje poznamky ze zacatku roku, kdy jsem na tom badal
a paket vznikly na danem stroji pred vstupem do IPsec ma prochazet
nezabezpecen temito retezci:
mangle.output
nat.output
filter.output
V pripade forwardovani prisleho paketu do IPsec tunelu to ma vypadat
takto (opet pred osetrenim IPsec):
mangle.prerouting
nat.prerouting
mangle.forward
filter.forward
Rekl bych, ze tam vuci normalnimu stavu chybi jeste na konci:
mangle.postrouting
nat.postrouting
coz by mohlo vysvetlovat nefunkcnost toho SNATu.
Pro uplnost jeste muzu uvest, co tam mam o paketu prislem prvne
z IPsec a bud koncici nebo forwardovany dal.
INPUT prisly z IPsec:
---------------------
mangle.prerouting
nat.prerouting
mangle.input
filter.input
FWD prisly z IPsec:
-------------------
mangle.prerouting
nat.prerouting
mangle.forward
filter.forward
mangle.postrouting
nat.postrouting
Takze tak nejak. Snad jsem to tenkrat si vybadal dobre a nic se od te
doby nezmenilo. :-)
M.
Další informace o konferenci Linux