[LUGOS] iptables: kernel 2.6 & IPSec filtering
Darko Vrsic
darko at varnost.si
Mon Oct 22 09:39:59 CEST 2007
Damir Dezeljin (dev) wrote:
> Hoj,
>
> Use case:
> - Imam povezana dva networka z uporabo OpenSWan IPSec implementacije
> na Ubuntu
> - left = 10.0.0.0/24
> - right = 10.0.1.0/24
> - RSA keys
> - zunanji interface left = eth0; zunanji interface right = ppp0 (eth0)
> - notranji interfaci = eth1
>
>
> Z iptables bi rad filtriral promet in sicer tako, da bi vedel kaj
> prihaja preko VPN-ja in kaj iz interneta. Namrec NIMAM moznosti
> nastaviti anti-spoofing rulo. To pomeni, da lahko na zunanjem
> interfaceju (torej od ISP-ja) dobim tudi promet iz 10.0.0.0/16.
>
> Na kernelu 2.4 je bilo to enostavno - pac VPN promet je prisel preko
> ipsec+ interfaceja. Na 2.6 pa mi prihaja preko external interfaceja
> (ppp0 oz. eth0). Ce je le mozno bi se rad izognil patchanju kernela
> (oz. ga ne zelim patchat).
>
> Kaksen hint (pa po moznosti se example :) ), kako identificirati tak
> promet?
>
>
> Podobno rabim tudi za implementacijo MS IPSec VPN-ja, kjer mora L2TP
> avtentikacija priti preko VPN-ja << spet isti problem kot zgoraj.
>
>
> Hvala in lp,
> Damir
Lahko uporabis tudi "MARK":
$IPTABLES --table mangle -A PREROUTING -p esp -j MARK --set-mark 1
$IPTABLES --table filter --insert FORWARD --match mark --mark 1 -s
10.0.0.0/16 -j ACCEPT
LP
Darko
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://liste2.lugos.si/pipermail/lugos-list/attachments/20071022/e3517b2e/attachment.htm
More information about the lugos-list
mailing list