[Tech] ipsec

leonardo billtorvalds1@yahoo.it
Mar 2 Mar 2004 10:54:51 CET 

* marted́ 02 marzo 2004, alle 09:30, Gianni Bianchini scrive:
> On Mon, Mar 01, 2004 at 03:39:59PM +0100, leonardo wrote:
> 
> > hai capito bene...
> > posto la tabella di routing di maxplanck (route -n):
> 
> Volevo vedere quella di queneau, che monta il 2.6.

eccola:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use
Iface
192.168.1.1     192.168.1.1     255.255.255.255 UGH   0      0        0
eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0
eth1
0.0.0.0         192.168.1.10    0.0.0.0         UG    0      0        0
eth1

mentre quella di lautrec e' questa:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use
Iface
192.168.1.1     192.168.1.1     255.255.255.255 UGH   0      0        0
ipsec0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0
eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0
ipsec0
0.0.0.0         192.168.1.10    0.0.0.0         UG    0      0        0
eth0


pero' io sto usando freeswan e il kernel standard con il suo stack ipsec
e non con il modulo di freeswan ricompilato dentro. L'implementazione
del kernel 2.6 di ipsec non supporta le interfacce ipsecX. Quindi non mi
stupisce che non ci siano. Pero' la cosa che non capisco e' che e'
maxplanck che risponde anche con pacchetti in chiaro...

> eth1 e' quella che connette queneau alla rete 192, giusto?

si, le interfacce non l'ho specificato ma ho citato quelle giuste.

> 
> Questa regola a rigore, cioe' senza gli accrocchi che introduce
> freeswan, blocca anche il traffico in protocollo 50 tcp. Non e' che

non sapevo che freeswan volesse la 50 tcp... 

> la nuova implementazione di freeswan e' un po' piu' "pulita" e onora
> il layer ip del kernel a monte dei suoi accrocchi? Non mi riesce
> spiegarlo bene. Mi pare che la relazione freeswan/iptables sia
> cambiata sensibilmente nella nuova implementazione, credo ci sia un
> paragrafo nella documentazione su questo, quando ho tempo ricerco.

siccome freeswan mi sta diventando antipatico... non esistono altre
soluzioni per far parlare con lo stesso applicativo un kernel 2.4 2 un
2.6 senza troppe patch (su debian woody/unstable) ? 

ciao,
leonardo.

-- 

	   www.lilik.it/users/leonardo
0C5F B8DE 3136 1506 96D0  1806 7674 D513 A66E 7854

Maggiori informazioni sulla lista flug-tech