Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Konstantin Reznichenko               2:5020/400     20 May 2002  10:43:00
 To : All
 Subject : Сага о IPSec...
 -------------------------------------------------------------------------------- 
 
 
 < Сага о IPSec (с вопросом :) >
 
   Добрый день, господа "ядерщики".
 
         Всем, кто работает с IPSec (в туннельном режиме) известно, что
 управлять
 трафиком, проходящим через туннельный интерфейс (gif*) невозможно.
 В OpenBSD/NetBSD/BSDi для этой цели существует псевдоустройство enc, в
 FreeBSD-CURRENT появилась нетграфовская нода ng_gif.
 В FreeBSD-STABLE - гробовое молчание, причем в списках рассылки
 довольно часто всплывают вопросы по этому поводу.
         Исследование данного вопроса, полугодичной давности никчему не
 привело.
 Кто-то из этой эхи (по-моему, Alexey Zakirov) посоветовал построить туннели
 на
 нетграфовских нодах, но это работало только до версии 4.4 .
 После долгих изысканий было принято решение,  на хосте перейти на pipsecd
 ( tun* ).
 
 И вот, случайно копаясь в KAME-шном "снапе", было обнаружено
 псевдоустройство
 sec* (о чудо!). Оказывается, оно было добавлено в KAME-шный стек еще июле
 2001г.
 ( релиз 4.5 основан на майском "снапе", чут-чуть не успели :)
 После установки "снапа" по ifconfig gifX create на "лету" создается соотв.
 secX интерфейс, после чего можно выбрать, на чем строить туннель ( gifX - в
 старом стиле, secX - с декапсуляцией туннеля).
         Т. о. нам осталось дождаться, когда в FreeBSD-STABLE обновят
 KAME-шный стек.
 Hо ждать можно долго, а можно и вовсе не дождаться, поэтому я решил
 попробовать
 "прикрутить" сей интерфейс к 4.5-RELEASE. Hо,  не тут-то было - слишком
 много "утекло" кода (слегка изменился интерфейс IOCTL, setkey ...).
 И тут возникла идея,  почему бы не превратить gifX в secX ?
 
 А вот и вопрос.
 Предполагается, управлять сей функциональностью посредством интерфейса
 sysctl
 (н.р. - net.inet.ipsec.mode: 1). При минимальных изменениях (ah_input.c и
 esp_input.c)
 получаем весь входящий трафик (проверено), а вот исходящий - пока не могу
 понять,
 как он организован :-( , где "открутить гайку" ?
 
 Кто поможет с этим вопросом?
 
                                         С уважением, Константин.
 --- ifmail v.2.15dev5
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Сага о IPSec...   Konstantin Reznichenko   20 May 2002 10:43:00 
Архивное /ru.unix.bsd/6577a63925a5.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional