|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Oleg V. Nauman 2:5020/400 10 Dec 2004 18:19:03
To : Eugene Grosbein
Subject : Re: IPSEC_FILTERGIF
--------------------------------------------------------------------------------
Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:
EG> Привет!
EG>
EG> Простая ситуация: есть маршрутизаторы A и B, разделенные несколькими
EG> хопами, оба FreeBSD 4.10-S, между ними ходит трафик, на B работает ipfw,
EG> все бегает. Теперь один их хопов между A и B переводится на радиоканал,
EG> поэтому весь трафик между A и B заворачиваем в gif, который шифруем
EG> IPSEC'ом в транспортном режиме. Бац - и на B файрвол отваливается,
EG> потому что по дефолту (без IPSEC_FILTERGIF в ядре) трафик из gif
EG> в ipfw просто не попадает.
EG>
EG> В gif(4) про эту опцию нет упоминания, в ipfw(8) о засаде можно найти
EG> упоминание только если уже знать о ней. Объяснение в LINT невнятно.
EG>
EG> Почему IPSEC_FILTERGIF не дефолт?
Видимо потому что они дважды меняли поведение связки IPSEC + ipfw в
4.x, что очень хорошо прочувствовалось именно при использовании ipsec в
транспорт моде через туннель на gif. Только из-за этого скажем у меня
до сих в двух местах RELENG_4_3. Вкратце: IPSEC_FILTERGIF не в дефолт
потому, что поведение связки IPSEC+ipfw+gif в точности совпадает с
поведением 4.x на такой связке перед появлением IPSEC_FILTERGIF
EG>
EG> Eugene
--
NO37-RIPE
--- ifmail v.2.15dev5.3
* Origin: ReIS Ltd. (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: IPSEC_FILTERGIF |
Oleg V. Nauman |
10 Dec 2004 18:19:03 |
|
|
