forum.opennet.ru - "Обход механизма IPsec средсвами iptables." (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Обход механизма IPsec средсвами iptables."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Обход механизма IPsec средсвами iptables."
Сообщение от Chaynic (ok) on 02-Окт-06, 11:42
Здравствуйте. Подскажите пожалуйста какими правилами (или способами, правила сочиню сам) можно на VPN шлюзе (kernel 2.4, freeswan) трафик из одной внутренний сети секретить, а из другой нет. Интерфейс во внешнюю сеть один. Т.е. пускать его мимо демона pluto в интерфейс Eth. Сразу скажу, что средствами статической маршрутизации проблема, однозначно, не решается. Заранее благодарен за ответы.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Обход механизма IPsec средсвами iptables., StSphinx, 14:50 , 02-Окт-06, (1)

Обход механизма IPsec средсвами iptables., Chaynic, 15:44 , 02-Окт-06, (2)

Сообщения по теме [Сортировка по времени, UBB]

1. "Обход механизма IPsec средсвами iptables."

Сообщение от StSphinx (??) on 02-Окт-06, 14:50

>Здравствуйте. Подскажите пожалуйста какими правилами (или способами, правила сочиню сам) можно на
>VPN шлюзе (kernel 2.4, freeswan) трафик из одной внутренний сети секретить,
>а из другой нет. Интерфейс во внешнюю сеть один. Т.е. пускать
>его мимо демона pluto в интерфейс Eth. Сразу скажу, что
>средствами статической маршрутизации проблема, однозначно, не решается.
>Заранее благодарен за ответы.

Наверное не средствами iptables. Посмотрите пакет iproute , man ip.
Дока по iproute где-то тут , на opennet.ru , была.
Суть в том, что трафик от определенной подсети вы отправляете в другую таблицу маршрутизации и там указываете некий нужный вам шлюз по умолчанию для трафика из этой подсети. Получается , что основной трафик обрабатывается дефолтной таблицой и секретится, а нужный вам обрабатывается по другой таблице и идет мимо.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Обход механизма IPsec средсвами iptables."

Сообщение от Chaynic (ok) on 02-Окт-06, 15:44

>Наверное не средствами iptables. Посмотрите пакет iproute , man ip.
>Дока по iproute где-то тут , на opennet.ru , была.
>Суть в том, что трафик от определенной подсети вы отправляете в другую
>таблицу маршрутизации и там указываете некий нужный вам шлюз по умолчанию
>для трафика из этой подсети. Получается , что основной трафик обрабатывается
>дефолтной таблицой и секретится, а нужный вам обрабатывается по другой таблице
>и идет мимо.
Спасибо. Предложенный механизм достаточно элегантен, но... Дело в том, что шлюз - конечный автомат (т.е. работает из образа распакованного в RAM) и модернизация образа какими-либо пакетами невозможна. Была мне сделана подсказка следующего вида:
VPN_1->VPN_2: iptables -t nat -A PREROUTING -s $do't_secret_net1 -d $do't_secret_net2 -j DNAT --to-destination $ip_adr_nexthope (обратный путь думаю ясен) Т.е. если я правильно понял, схема предлогает натировать трафик не подлежащий шифрованию, а шифрованный просто не попадает под это правило. На данный момент попробовать не могу, т.к. шлюзы задействованны на связи. Заранее спасибо за высказанные мысли.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обход механизма IPsec средсвами iptables."
Сообщение от StSphinx (??) on 02-Окт-06, 14:50
>Здравствуйте. Подскажите пожалуйста какими правилами (или способами, правила сочиню сам) можно на >VPN шлюзе (kernel 2.4, freeswan) трафик из одной внутренний сети секретить, >а из другой нет. Интерфейс во внешнюю сеть один. Т.е. пускать >его мимо демона pluto в интерфейс Eth. Сразу скажу, что >средствами статической маршрутизации проблема, однозначно, не решается. >Заранее благодарен за ответы. Наверное не средствами iptables. Посмотрите пакет iproute , man ip. Дока по iproute где-то тут , на opennet.ru , была. Суть в том, что трафик от определенной подсети вы отправляете в другую таблицу маршрутизации и там указываете некий нужный вам шлюз по умолчанию для трафика из этой подсети. Получается , что основной трафик обрабатывается дефолтной таблицой и секретится, а нужный вам обрабатывается по другой таблице и идет мимо.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Обход механизма IPsec средсвами iptables."
	Сообщение от Chaynic (ok) on 02-Окт-06, 15:44
	>Наверное не средствами iptables. Посмотрите пакет iproute , man ip. >Дока по iproute где-то тут , на opennet.ru , была. >Суть в том, что трафик от определенной подсети вы отправляете в другую >таблицу маршрутизации и там указываете некий нужный вам шлюз по умолчанию >для трафика из этой подсети. Получается , что основной трафик обрабатывается >дефолтной таблицой и секретится, а нужный вам обрабатывается по другой таблице >и идет мимо. Спасибо. Предложенный механизм достаточно элегантен, но... Дело в том, что шлюз - конечный автомат (т.е. работает из образа распакованного в RAM) и модернизация образа какими-либо пакетами невозможна. Была мне сделана подсказка следующего вида: VPN_1->VPN_2: iptables -t nat -A PREROUTING -s $do't_secret_net1 -d $do't_secret_net2 -j DNAT --to-destination $ip_adr_nexthope (обратный путь думаю ясен) Т.е. если я правильно понял, схема предлогает натировать трафик не подлежащий шифрованию, а шифрованный просто не попадает под это правило. На данный момент попробовать не могу, т.к. шлюзы задействованны на связи. Заранее спасибо за высказанные мысли.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]