Re: iptables & ipsec - Schwääre Kost...?
Am Sonntag, 31. Oktober 2004 19:18 schrieb Björn Schmidt:
> Matthias Houdek wrote:
> > Die IPSec-Frames kommen auf dem Rechner mit der Firewall an und
> > werden erst nach dem Entpacken zu den verhunzten SSH-Segmenten, die
> > dann verworfen werden?
>
> Äääh nein. Die Pakete möchten den Firewall-Rechner -von wo aus die
> Verbindung aufgebaut werden soll- gerne verlassen (sie schaffen es ja
> nicht in der _OUTPUT_ Chain Akzeptiert zu werden). Wenn ich das richtig
> interpretiere sind die Pakete schon kaputt _bevor_ sie verschlüsselt
> werden.
Gut, dann hab ich das doch richtig im Sinn gehabt. Die Firewall läuft auf
dem Rechner, von dem du auch die Verbindung aufbaust.
Geht denn ssh via IPSec ohne Firewall?
> > (Stimmt ja, der 2.6er Kernel macht IPSec ja irgendwie
> > ohne separates IPSec-Interface - oder?
>
> Genau so ist es. IPsec ist für den normalen User transparent, er merkt
> nicht das er es benutzt. Na gut, bei älteren Rechnern kann schon die
> maximale Übertragungsrate "etwas" absinken, aber das wäre auch alles.
Naja, das dürfte man wohl bei den meisten Rechnern kaum spüren. Da muss
das Teil ja schon sehr alt (> 3-4 Jahre) sein.
[...]
> >>die IPsec-Verbindung steht aber. Ping z.B. funktioniert
> >
> > Ping ist aber auch kein TCP. Geht ein Telnet?
>
> Kann ich gerade nicht ausprobieren weil es das Ergebnis eines anderen
> Experimentes verfälschen würde.
>
> > Hm, die Mitschnitte zeigen einem herzlich wenig über den Inhalt der
> > ESP-Segmente. Wenn du mal nur AH machst und dann mit 'nem Sniffer
> > reinschaust.
>
> Das teste ich sobald der Rechner wieder frei ist. Vermutlich wird es
> nichts bringen da die Pakete "scheinbar" schon _vor_ der
> verschlüsselung nicht ganz der Spezifikation entsprechen.
_Das_ wäre doch schon mal interessant zu wissen.
Ich werde mich morgen auch mal ein wenig hinter IPSec mit dem 2.6er
klemmen. Hoffe, ich finde ein wenig Zeit dafür.
--
Gruß
MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter
nach /dev/null).
Reply to: