Table of Contents
Notizen zu FreeS/WAN
Miscellen
Filtern von internen Netzen
Seit neuerem läuft der ipsec-Traffic von FreeS/WAN nicht mehr über separate Devices, sondern kommt über das normale (externe) Device 'rein.
Durch diese Veränderungen werden Filterregeln, die nach dem Schema vorgehen “private Netze an öffentlichen Devices droppen, da Spoofing” ziemlich nutzlos. Meine Recherchen ergaben zwei Lösungen für dieses Problem:
- Policies von FreeS/WAN nutzen, um ausgehenden Verkehr über die Tunnel zu zwingen. Laut Doku zu 2.04 muß inbound traffic trotzdem per iptables erschlagen werden /-) …
- Markieren von ESP-Traffic, so daß man später dieses mark auswerten und den Traffic entsprechend akzeptieren kann