The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"нормальная работа ipsec только при полностью открытом ipfw"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"нормальная работа ipsec только при полностью открытом ipfw"  
Сообщение от max1991 email(??) on 12-Дек-07, 14:01 
обе машины - FreeBSD 6.2
Проблема такая: настраиваю ipsec(racoon), всё настраиваю правильно, но он работает нормально только тогда, когда в ipfw прописываю add all from any to any в самом верху.Если убираю это правило, то получается интересная вещь: пинги до удаленного хоста уходят, tcpdump показывает, что пакеты шифруются, но обратно пинги не возвращаются. Пробовал создать правило разрешить всё от удаленной машины с внешн. интерфейса на внешн. Интерфес локальной машины - ситуация таже( пинги уходят, шифруются, но не возвращяются).
На freebsd.org написаны 9 правил для того, чтобы ipsec нормально работал :
ipfw add 1 allow udp from int_iface_dst_mashine to int_iface_source_mashine
ipfw add 1 allow udp from int_iface_source_mashine to int_iface_dst_mashine
ipfw add 1 allow esp from int_iface_dst_mashine to int_iface_source_mashine
ipfw add 1 allow esp from int_iface_source_mashine to int_iface_dst_mashine
ipfw add 1 allow ipencap from int_iface_dst_mashine to int_iface_source_mashine
ipfw add 1 allow ipencap from int_iface_source_mashine to int_iface_dst_mashine

ну и на второй машине соответственно теже правила в зеркале....-не помогло!
Пробовал разрешить all from any to any via gif0 - не помогло
Пробовал разрешить ipencap и esp по dst-port 500 - не помогло
ну и всякие комбинации описанных выше правил, к желаему результату не привели!
Может кто сталкивался уже с аналогичной проблемой?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "нормальная работа ipsec только при полностью открытом ipfw"  
Сообщение от waff (??) on 12-Дек-07, 18:43 
Последнее правило: ipfw add 65535 deny log logamount 1000000 ip from any to any
И посмтореть /var/log/security на предмет того,что режется
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру