IPsec a iptables

[Pavel Lisý]

Michal Dobes píše v Ne 24. 09. 2006 v 22:41 +0200:
> Pavel Lisý napsal(a):
> > 1. Jsou pakety do ipsec tunelu posílané až poté, co projdou přes
> > iptables POSTROUTING?
> 
> Tak jsem nasel svoje poznamky ze zacatku roku, kdy jsem na tom badal
> a paket vznikly na danem stroji pred vstupem do IPsec ma prochazet
> nezabezpecen temito retezci:
> mangle.output
> nat.output
> filter.output
> 
> V pripade forwardovani prisleho paketu do IPsec tunelu to ma vypadat
> takto (opet pred osetrenim IPsec):
> mangle.prerouting
> nat.prerouting
> mangle.forward
> filter.forward
> 
> Rekl bych, ze tam vuci normalnimu stavu chybi jeste na konci:
> mangle.postrouting
> nat.postrouting
> coz by mohlo vysvetlovat nefunkcnost toho SNATu.
> 
> Pro uplnost jeste muzu uvest, co tam mam o paketu prislem prvne
> z IPsec a bud koncici nebo forwardovany dal.
> INPUT prisly z IPsec:
> ---------------------
> mangle.prerouting
> nat.prerouting
> mangle.input
> filter.input
> 
> FWD prisly z IPsec:
> -------------------
> mangle.prerouting
> nat.prerouting
> mangle.forward
> filter.forward
> mangle.postrouting
> nat.postrouting
> 
> Takze tak nejak. Snad jsem to tenkrat si vybadal dobre a nic se od te
> doby nezmenilo. :-)
Děkuji za odpovědi, nakonec jsem našel dokument, který problematiku
obšírně vysvětluje.

http://www.xelerance.com/talks/linuxtag2004/IPseconLinux.pdf

Prostě mi to fungovat s native IPsec a racoon fungovat nemůže protože se
to na PRE/POSTROUTING v iptables nedostane. Možnost je použít místo toho
*swan (např OpenSWAN), kde je možné díky KLIPS vyřešit.

Dokument je z roku 2004 a v závěru se píše, že někdo začal práce v
kernelu 2.6, aby se i trafic z IPsec dal pomocí iptables ovládat.

Zajímalo by mě jestli někdo nevíte, zda je to už v vanila kernelu? 

Pavel