|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Slawa Olhovchenkov 2:5030/500 19 May 2005 18:09:52
To : Valentin Nechayev
Subject : ipsec по ханбуку
--------------------------------------------------------------------------------
19 May 05, Valentin Nechayev writes to Slawa Olhovchenkov:
SO>> А фигня там некоторая написанна, на мой взгляд.
SO>> Они рекомендуют поднять между двумя тазиками gif и потом его шифрануть.
SO>> Я с этим полностью согласен, но. Шифровать они его предлагают так:
SO>> spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec
SO>> esp/tunnel/A.B.C.D-W.X.Y.Z/require;
SO>> а мне кажется что правильно так:
SO>> spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec
SO>> esp/transport//require;
VN> В общем логично. А то два туннелирования получается.
Hа самом деле там возможна еще вот такая конструкция:
spdadd 0.0.0.0/0 0.0.0.0/0 ipencap -P out ipsec esp/transport//require;
которой достаточно одной на все туннели, если некриптованных нету.
Далее, из замеченного. у racoon насколько я понял поддержка кончается, да и
работает он не очень, насколько я понял из отзывов. Hеплохо бы добавить описание
того, как работать на статических ключах.
И не хватает замечания о том, что "/require;" означает что весь некриптованный
трафик между указанными в директиве адресами будет молча дропаться.
Кстати, куда нынче попадает трафик из ipsec? В файрвол или в ядро?
... Истинная цена живого человеческого общения -- счета от пpовайдеpа
--- GoldED+/BSD 1.1.5
* Origin: (2:5030/500)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
ipsec по ханбуку 