LINUX.ORG.RU
ФорумSecurity

IPtables & IPSec проблема фильтрации пакетов


0

0

две машины под управлением Fedora Core 2 на обеих настроен Iptables и IPSec, между ними разрешен обмен по протоколу IP 50 (ipv6-crypt) возникает вопрос: как запретить соединения на отдельные порты между двумя этиим машинами? Ведь iptables не может распознать, что находится в зашифрованых пакетах, таким образом разрешен любой трафик между этими машинами.

anonymous
pppoe
Установление достоверности пистьма

Ответ на: комментарий от chucha 

Native IPsec еще не допилен, AFAIK, поэтому юзать его следует только в целях
тестинга...

Поэтому речь наверняка идет о freeswan/openswan...

Кстати, хотел задать этот вопрос, а что используют в Linux для обмена ключами?
Есть ли реализации ISAKMP, Oakley?

signal11
()
Ответ на: комментарий от signal11

Обе машинки с ядром 2.6.7-1.494.2.2, IPSec - Racoon (входит в комлект поставки FC2), кстати он реализует ISAKMP причем уже на UDP что позволяет прогонять траффик через NAT.

anonymous
()
Ответ на: комментарий от anonymous

В родном ipsec нет виртуальных устройств как в freeswan, поэтому подружить его с iptables сложновато. Если используется tunnel mode, то можно фильтровать в цепочке FORWARD, там трафик еше не зашифрован. В случае transport mode все сложнее. Кое-что есть здесь http://hoeg.org/lri/ar01s06.html, но я сомневаюсь что расшифрованный пакет будет иметь метку. Можно посмотреть http://netfilter.org/patch-o-matic/pom-extra.html#pom-extra-ipsec-01-output-h...

to signal11: смотри www.ipsec-howto.org

chucha ★★★☆
()
Ответ на: комментарий от chucha

Спасибо, патчи для IPTables правильные, но пока в стадии разработки. ПРидется дождаться релиза.

Bloody ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
pppoe
Security
Установление достоверности пистьма