LINUX.ORG.RU
ФорумAdmin

Настройка ipsec

 


0

1

У меня два вопроса по ipsec:

  1. Можно ли как то убедиться, что соединение зашифровано и данные передаются именно через ipsec (не прибегая к tcpdump)?
  2. Можно ли с помощью iptables запретить весь трафик, кроме ipsec?

1. ip xfrm уже посоветовали, но tcpdump проще всего
2. обычно незачем, но если хочется, то нужно запретить между хостами всё, кроме protocol 50 и(или) 51 и ISAKMP с NAT Traversal. И еще ICMP я бы оставил.

thesis ★★★★★
()
Ответ на: комментарий от iving

Мне кроме traceroute ничего в голову не приходит,

Именно она.

но она мне не поможет

Как это не поможет? Вы ставите задачу:

данные передаются именно через ipsec

traceroute вполне вам покажет каким маршрутом вы двинетесь.

anc ★★★★★
()
Ответ на: комментарий от anc

Всё верно, только iving не уточнил, насколько он готов в эту историю вложиться ресурсно:

А) Хватит взглянуть на настройки и меняющийся вывод монитора xrfm, или trafficstatus (whack) - это вариант «мамой клянус».

Б) Либо нужно 24/7 просеивание трафика ( как минимум "tcpdump -nn -i <ethernet> not esp and host A.A.A.A and host B.B.B.B" а то и какие спец.средства посерьёзнее ).

Либо промежуточный вариант.

NDfan
()