|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Max Yuzhakov 2:5020/400 21 Aug 2005 00:04:26
To : Sergey Korolew
Subject : Re: gif, ipsec и ipfw
--------------------------------------------------------------------------------
Sergey Korolew пишет:
SK> терминируются три gif-тоннеля - один основной от спутникового провайдера,
SK> второй резервный оттуда же (они идут через разных наземных провайдеров)
SK> и третий - соединение с нашим филиалом. Поверх третьего тоннеля поднят
SK> ipsec в
SK> транспортном режиме - шифрация только ipencap и только между этими двумя
SK> хостами.
SK> То есть имеем два нешифрованных gif-туннеля (с разными src addr) и один
SK> шифрованный. Резервный туннель используется очень редко. Оба нешифрованных
SK> туннеля output only - данные возвращаются обратно неинкапсулированные и
SK> через другой интерфейс.
SK>
SK> Проблема:
SK> ipfw add 1 count log ipencap from any to any
SK> ничего не показывает ! То есть ipencap пакеты gif-туннелей в файрвол
SK> вообще не попадают. :-\ Подозреваю интерференцию с ipsec.
SK>
SK> options IPSEC_FILTERGIF в ядре присутствует, пакеты выходящие из
SK> туннелей в
SK> файрвол попадают. Также попадают esp-пакеты шифрованного туннеля. А вот
SK> ipencap-пакеты нешифрованных - нет.
Привет!
Из двух туннелей на машине один шифруется IPSEC.
добавил ipfw add 1 count log ipencap from any to any
IPSEC_FILTERGIF добавил
В результате (5.4-STABLE от первого августа, что ли) на
первом правиле попадаются ipencap нешифрованного тунеля,
как входящие, так и исходящие и ipencap входящие шифрованного
туннеля.
--
GMT More Then ...
--- ifmail v.2.15dev5.3
* Origin: Alkar Teleport News Server (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
gif, ipsec и ipfw |
Sergey Korolew |
20 Aug 2005 15:41:48 |
 Re: gif, ipsec и ipfw |
Max Yuzhakov |
21 Aug 2005 00:04:26 |
|
|
