Forwarding von IPSec Verbindungen
Markus Wigge
markus at cultcom.de
Wed Jul 28 20:10:40 CEST 2004
Tag,
>> nur wie muß ich jetzt die Forward-Regeln setzten, damit nur noch
>> IPSec gesicherter Traffic weitergleitet wird?
>> Wenn ich einfach nur die Netze akzeptiere gilt das auch für nicht
>> gesicherte Leitungen... bei der 2.4er IPSec Implementierung hatte
>> man noch ein "ipsec*" Interface dass man als Incomming Interface (-i)
>> angeben konnte.
> Siehe http://www.spenneberg.com/867.html
>
> When using IPsec tunnel mode on a gateway:
> INPUT sees the incoming encrypted traffic
> FORWARD sees the decrypted traffic
> POSTROUTING sees the outgoing encrypted traffic
> # Allow ESP Traffic from/to Gateway
> iptables -A INPUT -i $EXTERNAL_INTERFACE -p esp -j ACCEPT
> iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p esp -j ACCEPT
>
> # Tag Incoming IPSec Traffic. 'mark' sticks after processing.
> iptables -t mangle -A PREROUTING -i $EXTERNAL_INTERFACE
> -p esp -j MARK --set-mark 1
>
> # Forward Authenticated Traffic to LAN.
> iptables -A FORWARD -i $EXTERNAL_INTERFACE -m mark --mark 1
> -d $LAN_ADDRESSES -j ACCEPT
Den Artikel hatte ich schonmal gelesen, hatte aber erst nicht
funktioniert... hab vergessen den Client lokal zum DNS connecten
zu lassen.
Wie kann ich es denn jetzt noch bewerkstelligen dass Pakete vom
lokalen Netz nur verschlüsselt ins WLAN geforwarded werden?
Muß ich die auch markieren und dann evtl. in der POSTROUTING chain
wegwerfen?
bye,
Markus
More information about the Linux
mailing list