[LUGOS] iptables: kernel 2.6 & IPSec filtering

Andraz Sraka a at aufbix.org
Mon Oct 22 09:41:08 CEST 2007


re

On Mon, 2007-10-22 at 08:38 +0200, Damir Dezeljin (dev) wrote:
> Kaksen hint (pa po moznosti se example :) ), kako identificirati tak
> promet? 

Ja, to je problem ce nimas KLIPS 2.6 patcha, da bi imel dodatne ipsec
device nad katerimi izvajas filtering. V tvojem primeru se nekako lahko
pomagas z markiranjem ipsec prometa .. ala

IPTB="/sbin/iptables"
$IPTB -A INPUT -i $INTERNET -p udp --dport 500  -j ACCEPT
$IPTB -A INPUT -t mangle -p 50 -j MARK --set-mark 1
$IPTB -A INPUT -t mangle -p 51 -j MARK --set-mark 1

.. potem filtriras glede na 'mark 0x1', promet zmeces v svoj chain in v
tem chainu nastavljas bolj specifine rule. Toje en primer, ki tudi
Openswan resitev vkolikor nimas KLIPS 2.6 patcha v kernelu oz.
uporabljas netkey/26sec ipsec implementacijo.

lp,
 Andraz

-- 
Humppa all the way!!
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 3355 bytes
Desc: not available
Url : http://liste2.lugos.si/pipermail/lugos-list/attachments/20071022/9d3fdad5/attachment.bin 


More information about the lugos-list mailing list