Re[2]: Openswan Debian 3.1
Здравствуйте, Max.
Вы писали 10 июля 2006 г., 19:44:53:
> В сообщении от 10 Июль 2006 17:14 shaman@066.ru написал(a):
>> Система Debian 3.1.
>> Openswan IPsec U2.2.0/K2.4.27-3-686.
>>
>> Туннели работают все нормально, не хватает чтобы интерфейс
>> ipsec0 подымался, правила iptables писать проще и легче
>> ну и понятней.
>>
>> Что необходимо сделать, чтобы при работе (запуске)
>> openswan создавал интерфейс ipsec0.
> Имел маленький опыт с этим делом. Вообще у меня по дефолту создавались
> три интерфейса ipsec0, ipsec1 и ipsec2. Зачем они нужны я так и не
> понял. Но я точно понял, что это не тунели а также, что это не совсем
> сетевой интерфейс. Ему можно конечно назначить IP-адрес, но работает
> там все как-то по другому. Хотя я может быть и гоню. Но дока у них
> до жути кривая.
> --
> Макс
Вот именно, что и не создаются, как был исходящий eth0 так и остался
и если натравить tcpdump на него то мы увидим как и шифрованный пакет
так и не шифрованный.
Вот простой пример
необходимо разрешить чтобы уделенные сети обменивались трафиком между
собой
пишем
iptables -A FORWARD -i eth0 -s 1 сеть -o eth1 -d 2 сеть -j ACCEPT
Вроде все красиво, работает, но то есть небольшая дыра, можно
предположить если на внешний интерфейс действительно придет пакет (не
из туннеля) но от хоста с ip 1 сети то он благополучно попадет во внутреннею сеть.
Если не прав поправите.
А если есть ipsec0 то будет уже по-другому.
iptaples -A FORWARD -i ipsec0 -s 1 сеть -o eth1 -d 2 сеть -j ACCEPT
вот тогда все красиво.
Reply to: