|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Ilia Kuliev 2:5020/1423.6 25 Dec 2003 02:14:54
To : All
Subject : IPSec и ipfw
--------------------------------------------------------------------------------
А вот знает кто-нибудь, в каком порядке обрабатывается входящий esp пакет?
Что происходит сначала - он проходит через правила ipfw и после этого с него
стрипаются ESP заголовки? Или наоборот?
А исходящий пакет?
Вопрос вот по какому поводу.
A--------B---------C,D,E
А - шлюз в публичную сеть
B - хост, делающий NAT для локальной сети, в которой стоят рабочие станции
пользователей C, D, E и т.д.
Hа участке от A до B трафик надо шифровать.
A и B - это FreeBSD 4.x
Hа B правила ipfw примерно такие:
100 allow esp from any to B in recv xl0
100 allow esp from B to any out xmit xl0
200 divert 8668 ip from any to B in recv xl0
210 divert 8668 ip from 172.16.1.0/24 to any out xmit xl0
и так далее, дальше неинтересно. xl0 - внешний по отношению к локалке интерфейс
(в смысле, подключенный к А).
После применения политики IPSec немедленно перестаёт работать NAT, и
пользователи теряют доступ к интернет. Причём, собственно пакеты от A до B
продолжают ходить, и tcpdump показывает, что пакеты шифрованные.
Возможно, это происходит потому, что входящие пакеты попадают под 100-е
правило, и после их декапсуляции до 200-го правила не доезжают? Допустим,
это так, тогда как же быть?..
Да, вариант с туннелированием из локалки на хост А не катит. По политическим
соображениям.
ilia
--- GoldED/W32
* Origin: --=/ Fulcrum Point \=-- (2:5020/1423.6)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
