Re: iptables & ipsec - Schwääre Kost...?

To: debian-user-german@lists.debian.org
Subject: Re: iptables & ipsec - Schwääre Kost...?
From: Matthias Houdek <linux@houdek.de>
Date: Fri, 29 Oct 2004 15:27:45 +0200
Message-id: <[🔎] 200410291527.45130.linux@houdek.de>
In-reply-to: <[🔎] 418238FF.4010806@uni-paderborn.de>
References: <[🔎] 418238FF.4010806@uni-paderborn.de>

Am Freitag, 29. Oktober 2004 14:35 schrieb Björn Schmidt:
> Hi,
>
> ich habe hier ein Problem bei dem ich nicht mehr weiter weiß.
> Verbindungen zu meinem neuen Router sind Subnetzübergreifend nur
> mit IPsec (Transport/ESP) möglich. Das Problem ist das ausgehende,
> zu ssh-Verbindungen (andere habe ich noch nicht getestet) gehörende
> Pakete nicht durch die Firewall kommen, FALLS IPsec aktiviert ist.
> Ohne IPsec geht es. Ich benutze das IPsec aus dem Kernel 2.6
>
> Das entscheidende Fragment meines Firewallscriptes:
>
> function INT_IFACE_accept_out()
> {
> $IPT_CMD -N INT_OUT
> $IPT_CMD -A OUTPUT  -o $INT_IFNAME  -m state --state NEW
>                          -j ULOG --ulog-prefix INT_IFACE_accept_out
> $IPT_CMD -A OUTPUT  -o $INT_IFNAME  -m state --state NEW
>                          -j INT_OUT
> # $IPT_CMD -A OUTPUT  -o $INT_IFNAME  -j ULOG --ulog-prefix
> INT_IFACE_esp_out # $IPT_CMD -A OUTPUT  -o $INT_IFNAME  -j INT_OUT
> $IPT_CMD -A INT_OUT -j ACCEPT
> }
>
> Entferne ich die Kommentarzeichen funktioniert es und meine log-File
> meldet:
>
> Oct 29 13:51:55 skyron INT_IFACE_esp_out IN= OUT=eth0 MAC=
> SRC=192.168.1.1 DST=192.168.1.2 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF
> PROTO=TCP SPT=22 DPT=33087 SEQ=1084138375 ACK=1121257964 WINDOW=5792
> ACK SYN URGP=0
>
> Mit Kommentarzeichen bekomme ich (das Paket wird verworfen da kein
> match):
>
> Oct 29 13:51:05 skyron ILLEGAL_PACKET IN= OUT=eth0 MAC= SRC=192.168.1.1
> DST=192.168.1.2 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22
> DPT=33085 SEQ=1048000056 ACK=1050690244 WINDOW=5792 ACK SYN URGP=0
                           ^^^^^^^^^^^^^^            ^^^^
Das ACK-Bit (Bestätigung) und die ACK-ID sind gesetzt, damit ist kein 
Verbindungsaufbau-Paket mehr (--state=NEW), sondern ein Paket einer 
etablierten TCP-Verbindung (--state=ESTABLISHED).

> Die Frage ist also, warum kann ich mit IPsec nicht ohne weiteres auf
> "--state NEW" prüfen. 

Was hat IPSec damit zu tun?

> Und wie muß eine Regel aussehen die mit "--state 
> NEW" einen Treffer liefert?

...,ESTABLISHED

-- 
Gruß
  MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter 
nach /dev/null).

Reply to:

Follow-Ups:
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>

References:
- iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>

Prev by Date: Re: Dau meets Debian
Next by Date: Re: Fehlerhafte PDF-Darstellung mit GV und co.
Previous by thread: iptables & ipsec - Schwääre Kost...?
Next by thread: Re: iptables & ipsec - Schwääre Kost...?
Index(es):
- Date
- Thread