[gl-como] iptables Policy Match in breezy

Pietro Bertera pietro@bertera.it
Mer 12 Ott 2005 13:08:23 CEST


On mer, 2005-10-12 at 11:00 +0200, Matteo Cavalleri wrote:

> mi sfugge xchè combino porcate con i mark... :-(

Usando KLIPS (Openswan, FreeS/WAN) hai l'interfaccia ipsec0 in cui
transitano tutti i pacchetti appartenenti ad un tunnel IPSec.
Nell'implementazione dei kernel 2.6 non esiste ipsec0 e i interni ad un
tunnel ipsec vengono reimmessi quindi di vedi arrivare su eth0 sia il
traffico cifrato che quello in chiaro (interno al tunnel).
Se fai una vpn lan-to-lan usando KLIPS sai che se ti arriva un pacchetto
con degli indirizzi privati su eth0 lo devi droppoare perchè su eth0
vedi solo il traffico ESP (o AH), vicevesa lo accetti se arriva da
ipsec0.
Se invece usi l'implementaizone dei 2.6 no puo droppare a priori i
pacchetti con ip privati su eth0 (segheresti anche quelli dentro al
tunnel), quindi devi dare un mark ai pacchetti esp del tunnel, poi
discrimini se un pacchetto con ip privati è valido o meno controllando
se è marcato.
Funziona ma è un accroccio.

Usando i policy match puoi matchare i pacchetti secondo i parametri
delle policy ipsec (quello che specifici con il comando setkey).

Ciao



Maggiori informazioni sulla lista gl-como