OSS Group :: Admin :: Настройка FIAIF для работы каналов IPsec |
Быстрый поиск по WikiНавигация по сайтуНа эту страницу ссылаются: |
Настройка FIAIF для работы каналов IPsecНастройка зон FIAIF для обеспечения работы канала IPsec. Рассматривается схема вида Gateway1 {192.168.0.0/24} <-> 192.168.0.254 Gateway2 172.16.0.1 < ...... > 172.31.255.1 10.0.0.254 <-> {10.0.0.0/24} и настройки шлюза Gateway1. В конфигурационном файле интерфейса 172.16.0.1:1. Для работы IKE должно быть разрешено получение пакетов udp/isakmp с 172.31.255.1 INPUT[${#INPUT[@]}]="ACCEPT udp isakmp 172.31.255.1/32=>172.16.0.1/32" При использовании NAT-T - также требуется разрешение получения пакетов udp/4500: INPUT[${#INPUT[@]}]="ACCEPT udp 4500 172.31.255.1/32=>172.16.0.1/32" 2. Теоретически должны быть правила, разрешающие получение пакетов ESP и AH, вида INPUT[${#INPUT[@]}]="ACCEPT ipv6-crypt 172.31.255.1/32=>172.16.0.1/32" INPUT[${#INPUT[@]}]="ACCEPT ipv6-auth 172.31.255.1/32=>172.16.0.1/32" На практике для как минимум 2.6.18-ovz-smp туннели работают и без них. 3. Для прохождения трафика IPsec в удалённые сети через внешний интерфейс эти сети должны быть перечислены в NET_EXTRA: NET_EXTRA="10.0.0.0/24" 4. При необходимости дополнительной фильтрации трафика из 192.168.0.0/24 в 10.0.0.0/24 соответствующие правила вносятся в FORWARD[]. В fiaif.conf указывается:5. Модули IPsec, загружаемые при запуске FIAIF: MODULES="ip_nat_ftp ip_conntrack_ftp ah4 esp4 ipcomp af_key xfrm4_mode_transport xfrm4_mode_tunnel" 6. В случае наличия правил SNAT для пакетов из 192.168.0.0/24 требуется исключить из них пакеты, предназначающиеся для 10.0.0.0/24. Проще всего вставить правила в nat/POSTROUTING в POST_START_SCRIPT[]: POST_START_SCRIPT[0]="/sbin/iptables -t nat -I POSTROUTING 1 -d 10.0.0.0/24 -j ACCEPT" 7. При наличии правил REDIRECT_XXX для, например, перенаправления обращений из 192.168.0.0/24 на прозрачный Squid, требуется исключить из них пакеты, предназначающиеся для 10.0.0.0/24. Проще всего вставить правила в nat/PREROUTING в POST_START_SCRIPT[]: POST_START_SCRIPT[1]="/sbin/iptables -t nat -I PREROUTING 1 -d 10.0.0.0/24 -j ACCEPT"
Дата создания: 2010-10-24 21:27:50 (Фетисов Н. А. (naf)) Не показывать комментарии Wiki::Admin Оглавление Карта раздела Изменения за сутки Изменения за неделю Изменения за месяц |
© 2006-2024 OSS Group. All rights reserved. | Техническая поддержка: Открытые Информационные Технологии и Системы
|