Forwarding von IPSec Verbindungen
Markus Wigge
markus at cultcom.de
Tue Jul 27 22:24:36 CEST 2004
Tag,
Ich habe folgenden Aufbau:
+--------+ +---------------+ +--------------+
| client |--- ESP ---- | IPSec-Gateway | ------ | lokales Netz |
+--------+ +---------------+ +--------------+
|-- 192.168.20.0/24 --| |-- 192.168.10.0/24 --|
Der Client macht eine IPSec-Verbindung zum Server auf und dieser
soll die gesicherten Verbindungen dann "klartext" ins lokale Netz
forwarden.
Das läuft soweit. Jetzt möchte ich auf dem Gateway das 20er Netz
soweit es geht blocken. D.h. ich möchte das nur noch Verbindungen
geforwarded werden die vorher über ipsec reingekommen sind.
Die INPUT-Regeln lassen nur noch DHCP und ESP/IKE rein.
medieval:/etc/init.d# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere udp dpts:bootps:bootpc state NEW
ACCEPT esp -- anywhere anywhere state NEW
und natürlich state "NEW" vom lokalen Netz...
nur wie muß ich jetzt die Forward-Regeln setzten, damit nur noch
IPSec gesicherter Traffic weitergleitet wird?
Wenn ich einfach nur die Netze akzeptiere gilt das auch für nicht
gesicherte Leitungen... bei der 2.4er IPSec Implementierung hatte
man noch ein "ipsec*" Interface dass man als Incomming Interface (-i)
angeben konnte.
bis dann,
Markus
More information about the Linux
mailing list