no way to compare when less than two revisions
Differences
This shows you the differences between two versions of the page.
| |
| — | it:net:freeswan [2006-05-25 15:31] (current) – created rosenke |
|---|
| | =====Notizen zu FreeS/WAN===== |
| |
| | ====Miscellen==== |
| | |
| | ====Filtern von internen Netzen==== |
| | Seit neuerem läuft der ipsec-Traffic von FreeS/WAN nicht mehr über separate Devices, sondern kommt über das normale (externe) Device 'rein.\\ |
| | Durch diese Veränderungen werden Filterregeln, die nach dem Schema vorgehen "private Netze an öffentlichen Devices droppen, da Spoofing" ziemlich nutzlos. Meine Recherchen ergaben zwei Lösungen für dieses Problem: |
| | * [[http://lists.netfilter.org/pipermail/netfilter/2004-May/052589.html|Policies von FreeS/WAN nutzen, um ausgehenden Verkehr über die Tunnel zu zwingen]]. Laut [[http://www.freeswan.org/freeswan_trees/freeswan-2.04/doc/policygroups.html|Doku zu 2.04]] muß inbound traffic trotzdem per iptables erschlagen werden /-) ... |
| | * [[http://www.uwsg.iu.edu/hypermail/linux/net/0405.0/0021.html|Markieren von ESP-Traffic]], so daß man später dieses mark auswerten und den Traffic entsprechend akzeptieren kann |
