iptables & ipsec - Schwääre Kost...?
Hi,
ich habe hier ein Problem bei dem ich nicht mehr weiter weiß.
Verbindungen zu meinem neuen Router sind Subnetzübergreifend nur
mit IPsec (Transport/ESP) möglich. Das Problem ist das ausgehende,
zu ssh-Verbindungen (andere habe ich noch nicht getestet) gehörende
Pakete nicht durch die Firewall kommen, FALLS IPsec aktiviert ist.
Ohne IPsec geht es. Ich benutze das IPsec aus dem Kernel 2.6
Das entscheidende Fragment meines Firewallscriptes:
function INT_IFACE_accept_out()
{
$IPT_CMD -N INT_OUT
$IPT_CMD -A OUTPUT -o $INT_IFNAME -m state --state NEW
-j ULOG --ulog-prefix INT_IFACE_accept_out
$IPT_CMD -A OUTPUT -o $INT_IFNAME -m state --state NEW
-j INT_OUT
# $IPT_CMD -A OUTPUT -o $INT_IFNAME -j ULOG --ulog-prefix INT_IFACE_esp_out
# $IPT_CMD -A OUTPUT -o $INT_IFNAME -j INT_OUT
$IPT_CMD -A INT_OUT -j ACCEPT
}
Entferne ich die Kommentarzeichen funktioniert es und meine log-File meldet:
Oct 29 13:51:55 skyron INT_IFACE_esp_out IN= OUT=eth0 MAC= SRC=192.168.1.1
DST=192.168.1.2 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22
DPT=33087 SEQ=1084138375 ACK=1121257964 WINDOW=5792 ACK SYN URGP=0
Mit Kommentarzeichen bekomme ich (das Paket wird verworfen da kein match):
Oct 29 13:51:05 skyron ILLEGAL_PACKET IN= OUT=eth0 MAC= SRC=192.168.1.1
DST=192.168.1.2 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22
DPT=33085 SEQ=1048000056 ACK=1050690244 WINDOW=5792 ACK SYN URGP=0
Die Frage ist also, warum kann ich mit IPsec nicht ohne weiteres auf "--state
NEW" prüfen. Und wie muß eine Regel aussehen die mit "--state NEW" einen
Treffer liefert?
--
Mit freundlichen Gruessen
Bjoern Schmidt
Reply to: