ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Sergey Mikhnenkov                    2:5090/22      02 Jun 2005  17:23:08
 To : Slawa Olhovchenkov
 Subject : handbook/ipsec
 -------------------------------------------------------------------------------- 
 

 02 Jun 05 12:30, you wrote to me:
 
  SM>> Hапример, я чисто экспериментально вышел на то, что
  SM>> transport+ipencap = tunnel :-) Т.е. железки работающие в
  SM>> тунельном режиме прекрасно понимают мою фрю в транспортном
  SM>> режиме.
  SO> Да, такой хак возможен, но я не уверен что про него хорошо писать и
  SO> что он всегда будет работать.
 
 У меня все варианты заработали. Пробовал с dlink, planet и zyxell. В данный
 момент постоянно работает dlink и planet.
 
  SM>> Hу и не мешало бы рассказать про туннельный режим, про его плюсы
  SM>> и минусы,
  SO> Про минусы я уже сказал, плюсов в случае FreeBSD мне не известно.
 
 Меньше сущностей. Типа гифов. Может еще что...
 
  SM>> про гемор с файерволом и противоречие этого режима и
  SM>> антиспуфинговых правил файервола...
  SO> Разверни мысль.
 
 firewall_type="simple"
 
 rc.firewall:
 # Stop RFC1918 nets on the outside interface
 ${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
 ${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
 ${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}
 
 Если я правильно помню, эти правила не пропустят esp пакеты в тунельном
 режиме... Хотя могу ошибаться, у меня файервол сложнее, может не на них я
 спотыкался, разбираться детально тогда было некогда. Если не сложно - проверь, у
 меня стенда щас нет :-(
 
  SM>> В общем есть что рассказать еще, если хочется сделать полноценную
  SM>> доку, чтобы не надо было искать умные мысли по гуглам, для
  SM>> решения проблем :-)
 
  SO> Hасколько я понимаю, хэндбук -- дока для начинающих, а вовсе не
  SO> серьезная литература для специалистов. Поэтому не надо в нее пихать
  SO> слишком сложные вещи.
 
 Как минимум, еще туда надо добавить про отличие ipencap и any режимов шифрации
 трафика при статических ключах. Это точно надо.
 
 Sergey
 
 --- И чего это я тебя так ненавижу ?
  * Origin: За что боролись, на то и напоролись ! (2:5090/22)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    handbook/ipsec   Slawa Olhovchenkov   30 May 2005 22:27:28   handbook/ipsec   Sergey Mikhnenkov   31 May 2005 14:36:30   handbook/ipsec   Slawa Olhovchenkov   31 May 2005 12:08:08   handbook/ipsec   Sergey Mikhnenkov   31 May 2005 17:15:36   handbook/ipsec   Slawa Olhovchenkov   31 May 2005 13:42:56   handbook/ipsec   Sergey Mikhnenkov   01 Jun 2005 09:03:32   handbook/ipsec   Slawa Olhovchenkov   02 Jun 2005 12:30:20   Re: handbook/ipsec   Gleb Smirnoff   02 Jun 2005 12:51:34   handbook/ipsec   Slawa Olhovchenkov   02 Jun 2005 13:16:28   handbook/ipsec   Sergey Mikhnenkov   02 Jun 2005 17:23:08   handbook/ipsec   Slawa Olhovchenkov   02 Jun 2005 14:05:44   Re: handbook/ipsec   Alexander S. Usov   02 Jun 2005 15:06:39   handbook/ipsec   Slawa Olhovchenkov   02 Jun 2005 15:31:50   handbook/ipsec   Andrey Ostanovsky   31 May 2005 14:21:44   Re: handbook/ipsec   Igor Zemliansky   31 May 2005 17:11:06   handbook/ipsec   Andrey Ostanovsky   31 May 2005 17:55:20   Re: handbook/ipsec   Igor Zemliansky   31 May 2005 11:45:19   handbook/ipsec   Slawa Olhovchenkov   31 May 2005 12:07:00   Re: handbook/ipsec   Igor Zemliansky   31 May 2005 12:56:33   handbook/ipsec   Slawa Olhovchenkov   31 May 2005 13:08:18