Настройка зон FIAIF для обеспечения работы канала IPsec.
Рассматривается схема вида
Gateway1
{192.168.0.0/24} <-> 192.168.0.254 Gateway2
172.16.0.1 < ...... > 172.31.255.1
10.0.0.254 <-> {10.0.0.0/24}
1. Для работы IKE должно быть разрешено получение пакетов udp/isakmp с 172.31.255.1
INPUT[${#INPUT[@]}]="ACCEPT udp isakmp 172.31.255.1/32=>172.16.0.1/32"
INPUT[${#INPUT[@]}]="ACCEPT udp 4500 172.31.255.1/32=>172.16.0.1/32"
2. Теоретически должны быть правила, разрешающие получение пакетов ESP и AH, вида
INPUT[${#INPUT[@]}]="ACCEPT ipv6-crypt 172.31.255.1/32=>172.16.0.1/32"
INPUT[${#INPUT[@]}]="ACCEPT ipv6-auth 172.31.255.1/32=>172.16.0.1/32"
3. Для прохождения трафика IPsec в удалённые сети через внешний интерфейс эти сети должны быть перечислены в NET_EXTRA:
NET_EXTRA="10.0.0.0/24"
4. При необходимости дополнительной фильтрации трафика из 192.168.0.0/24 в 10.0.0.0/24 соответствующие правила вносятся в FORWARD[].
5. Модули IPsec, загружаемые при запуске FIAIF:
MODULES="ip_nat_ftp ip_conntrack_ftp ah4 esp4 ipcomp af_key xfrm4_mode_transport xfrm4_mode_tunnel"
6. В случае наличия правил SNAT для пакетов из 192.168.0.0/24 требуется исключить из них пакеты, предназначающиеся для 10.0.0.0/24. Проще всего вставить правила в nat/POSTROUTING в POST_START_SCRIPT[]:
POST_START_SCRIPT[0]="/sbin/iptables -t nat -I POSTROUTING 1 -d 10.0.0.0/24 -j ACCEPT"
7. При наличии правил REDIRECT_XXX для, например, перенаправления обращений из 192.168.0.0/24 на прозрачный Squid, требуется исключить из них пакеты, предназначающиеся для 10.0.0.0/24. Проще всего вставить правила в nat/PREROUTING в POST_START_SCRIPT[]:
POST_START_SCRIPT[1]="/sbin/iptables -t nat -I PREROUTING 1 -d 10.0.0.0/24 -j ACCEPT"
Дата создания: 2010-10-24 21:27:50 (Фетисов Н. А. (naf))
Последнее изменение: 2010-10-24 21:27:50 (Фетисов Н. А. (naf))
Владелец: Фетисов Н. А. (naf)
Версия: 1
Wiki::Admin Карта раздела Оглавление Изменения за сутки Изменения за неделю Изменения за месяц