klink0v (klink0v) wrote,
klink0v
klink0v

Про IPSec в Linux

В очередной раз наступил на грабли, что IPSec-пакеты проходят через таблицу "filter" в iptables/netfilter два раза: один раз как нешифрованные, второй — как шифрованные. При этом такие критерии как "in interface, out interface, src ip, dst ip" могут оставаться одними и теми же при каждом проходе. Соответственно, разрешающие правила тоже следует указывать в двух экземплярах. Так, сперва нужно пропустить исходящий трафик, который только собирается шифроваться, а потом пропустить его же, но уже зашифрованным.

Я и раньше, конечно, об этом знал. Но теория теорией, а практика — практикой. Чтобы не наступать снова, конкретный пример "на будущее". Используем IPSec в транспортном режиме, хотим разрешить через интерфейс "vlan12" только шифрованный трафик и icmp.

И пару слов о реализациях. Большого смысла использовать KLIPS я не вижу, поскольку и Netkey/XFRM вполне себе нормально работает. На Kame-Tools/Racoon без слёз не взглянешь: там багов больше, чем фич. OpenSWAN фактически уже мёртв. Остаётся только StrongSWAN, практически без вариантов.

Tags: linux, администрирование, безопасность, сети
Subscribe

Recent Posts from This Journal

  • Обоссали

    Меня на собачьей площадке обоссал чужой хась. Подкрался, кобелина, незаметно и задрал лапу. Так что я не заметил и не успел отвесить пендаля дебилу.…

  • Про anti-dDOS

    Есть у меня один проект, который я очень не люблю. Сам присвоил ему кодовое имя "проект с мудаками". Но начальство выводить меня из него,…

  • Еще про баги в Juniper SRX

    Как я обычно строю IPSec с контрагентом? Выделяю серую "буферную" подсеточку с маской "/29" (6 хостов). Первый адрес из неё…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 3 comments