[LUGOS] iptables: kernel 2.6 & IPSec filtering
Damir Dezeljin (dev)
programing at mbss.org
Mon Oct 22 08:38:52 CEST 2007
Hoj,
Use case:
- Imam povezana dva networka z uporabo OpenSWan IPSec implementacije na
Ubuntu
- left = 10.0.0.0/24
- right = 10.0.1.0/24
- RSA keys
- zunanji interface left = eth0; zunanji interface right = ppp0 (eth0)
- notranji interfaci = eth1
Z iptables bi rad filtriral promet in sicer tako, da bi vedel kaj
prihaja preko VPN-ja in kaj iz interneta. Namrec NIMAM moznosti
nastaviti anti-spoofing rulo. To pomeni, da lahko na zunanjem
interfaceju (torej od ISP-ja) dobim tudi promet iz 10.0.0.0/16.
Na kernelu 2.4 je bilo to enostavno - pac VPN promet je prisel preko
ipsec+ interfaceja. Na 2.6 pa mi prihaja preko external interfaceja
(ppp0 oz. eth0). Ce je le mozno bi se rad izognil patchanju kernela (oz.
ga ne zelim patchat).
Kaksen hint (pa po moznosti se example :) ), kako identificirati tak
promet?
Podobno rabim tudi za implementacijo MS IPSec VPN-ja, kjer mora L2TP
avtentikacija priti preko VPN-ja << spet isti problem kot zgoraj.
Hvala in lp,
Damir
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://liste2.lugos.si/pipermail/lugos-list/attachments/20071022/acf52659/attachment.htm
More information about the lugos-list
mailing list