Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alexander Starostin                  2:5020/1297.153 07 Apr 2004  04:45:30
 To : All
 Subject : ipsec + natd
 -------------------------------------------------------------------------------- 
 
 
 Предстоит переезд на wireless-канал с революшенами, которые не умеют не только
 нормального шифрования, но даже WEP. Поэтому очень хочется трафик в открытом
 виде в эфире не показывать, а шифровать. Система - FreeBSD 4.7 (можно 4.9), шлюз
 для локалки(ок) в интернет, natd на внешнем интерфейсе. С ipsec ранее дела не
 имел, и после изучения разного рода документации возникли вопросы, чисто
 практически проверить которые пока не могу.
 
 Hеоднократно встречал схемы передачи пакетов, аналогичные в общем такой:
 Incoming: network ---> ipfw ---> ipsec --->
 Outgoing: ---> ipsec ---> ipfw ---> network
 Соответствующее словесное описание: "IPSEc в FreeBSD является частью
 TCP/IР-стека. Крупными буквами: пакеты попадающие под полиси, в дайверт не
 попадают, авторитетно тебе сообщаю из практики. Уже обрамленные дополнительным
 заголовком - да, попадают в стек ipfw."
 
 Если это так, - то это ведь очень печально: расшифрованные входящие и
 незашифрованные исходящие пакеты нельзя будет контролировать ipfw, не будет
 работать и divert/natd. Вопросы:
 Правда ли это и действительно ли natd ни у кого так не работает ?
 Поможет ли natd опция ядра IPSEC_FILTERGIF или она имеет отношение только к
 следующему варианту (gif) ?
 
 Второй вариант, близкий к handbook'чному. Завернуть трафик в gif-тунель, который
 в свою очередь зашифрован transport mode esp. Тогда теоретически интернет-трафик
 можно будет контролировать конструкцией ipfw ... via gif0, заодно пользоваться
 tcpdump, trafd и т.д. Однако не уверен, знает ли gif провайдерская циска...
 Вопрос: работает ли практически в такой схеме natd ?
 
 Какие еще тут возможны неожиданности ?
 
 Have a nice day!
 
 ---
  * Origin:  (2:5020/1297.153)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 ipsec + natd   Alexander Starostin   07 Apr 2004 04:45:30 
 Re: ipsec + natd   Ivan Voytas   08 Apr 2004 13:56:56 
Архивное /ru.unix.bsd/533340738778.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional