tcpdump a NETKEY IPsec
Jan Houstek
Jan na houstek.net
Pátek Červen 12 13:51:56 CEST 2009
On Wed, 10 Jun 2009, Pavel Kankovsky wrote:
> Dovolil bych si hádat (bez konzultace se Zdrojem), že místem, kde čmuchá
> pcap normálně chodí jen ESP, ovšem v tunelovém módu se příchozí paket z
> nějakého důvodu po vybalení znovu vrátí na start a předstírá se, že
> vlastně přišel už vybalený.
Ono je to vůbec dost zmantené. Při průchodu iptables to podle všeho bylo
myšleno tak, že ESP poleze chainy PREROUTING a POSTROUTING v tabulce
mangle a vybalené pakety se pak klasicky objeví v INPUT/OUTPUT nebo
FORWARD tabulky filter, podle toho, jestli jde o lokální či routovaný
provoz. Což je docela logické.
Tabulkou mangle leze ESP asi hlavně proto, aby se tam daly pakety
omarkovat a následně pak u těch dešifrovaných paketů rozlišit, co přišlo
tunelem a co dorazilo rovnou dešifrované, ale lze tu i filtrovat.
Opět je tu ale anomálie na vstupu, a totiž ta, že se příchozí ESP se
objeví i v chainu INPUT tabulky filter, ale odchozí přes OUTPUT nejdou.
Skoro bych si tipnul, že to může mít stejný důvod jako ta viditelnost
vybalených příchozích paketů v pcap.
-- HH
Další informace o konferenci Linux