|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Victor Sudakov 2:5020/400 30 May 2003 20:17:15
To : Aleksey Loginov
Subject : Re: IPSec - наивный вопрос
--------------------------------------------------------------------------------
> <bb6gg2$2mdr$1@mpeks.tomsk.su> <bb7363$jsm$1@host.talk.ru>
From: Victor Sudakov <sudakov@sibptus.tomsk.ru>
Aleksey Loginov <lan@entel.kiev.ua> wrote:
> VS>> VS> Проблема в том, что если про какой-нибудь интерфейс забуду,
> мап не
> VS>> VS> повешу и трафик через него завернется, пакеты уйдут
> нешифрованные?
> VS>> В принципе - да, HО пир их дропнет...
> VS>> Суть в том, что мапы должны быть двухсторонние!!!
> VS>> И если ты с одной стороны мар прицепишь, а с другой забудешь,
> VS>> то пир скажет: Блин, я ждал крипто-пакет, а мне пришла какая-то
> VS>> фигня! :)
>
> VS> А откуда он знает, что они должны придти криптованными?
> VS> Пришел пакет и пришел, значит его следует отфорвардить куда
> положено.
>
> Если на интерфейс навесить крипто мап, то входящий трафик будет
> проверяться на соответствие крипто-ACL. Обязательно! И если
> пакеты удовлетворяют условиям ACL, но они не криптованы, то
> по будут тупо дропаться.
Даже если пакет пришел через интерфейс, на который не навешена крипто
мап (в смысле, она навешена на какой-то другой)? Как так может быть?
> А вот если крипто-ACL пакет "проигнорирует", то дальше будут работать
> остальные правила, и в частности форвардинг куда положено :)
>
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/149@fidonet http://vas.tomsk.ru/
--- ifmail v.2.15dev5
* Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
