Re: SSL/port forwarding...
On Mon, Apr 15, 2002 at 01:57:37PM +0200, Alessandro Depetro wrote:
> IPsec ha
> il vantaggio di celare le informazioni sullo strato di trasporto e consente
> di utilizzare protocolli diversi dal TCP (ad es. UDP). Tuttavia, puo'
> creare problemi quando le informazioni sull'intestazione dello strato
> di trasporto sono necessarie per altri requisiti di rete (per esempio,
> per servizi di qualita' che richiedono l'accesso a numeri di porta
> TCP/UDP)... come nel caso del portforwarding (forwarding delle porte
> da un FW ad un server interno :) )
> spunti tratti da "progettare una rete sicura" di Merike Kaeo
Certo: e infatti le macchine che hanno a disposizione la VPN
devono vedersi tra loro "direttamente" attraverso il tunnel,
non essre nattate dal firewall/router vpn (quando il traffico
va a/proviene da l'altro capo del tunnel, mentre per il traffico
da/per internet si puo` nattare). Ripeto: il problema del NAT con
ipsec e` che una volta che si "firma" un pacchetto (e magari lo si
cripta pure, ma non e` questo il punto) poi non si puo` piu` modificare
non solo il contenuto ma neanche l'intestazione (come fa invece il nat),
pena il rifiuto dell'altro lato della vpn che trova una cosa sospetta
dello tipo un messaggio mail firmato gpg che non passa il controllo
della firma.
> P.S.: freswan e' disponibile anche come patch da applicare ai kernel
> Debian GNU/Linux 2.2.20 diciamo cosi' "standard"...
anche 2.4.18 (e in parte anche 2.0.39) sono supportati
> non sono sicuro
> comunque che siano implementati allo stato attuale tutti i protocolli
> previsiti dallo "standard"...
le cose citate in doc/standards e in BUGS in /usr/share/doc/freeswan ?
--
To UNSUBSCRIBE, email to debian-italian-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: