Полная версия

OSS Group


Авторизация

  

Навигация

Текущее местоположение:  OSS Group :: Wiki :: Admin :: Настройка FIAIF для работы каналов IPsec
Главное меню:   Главная   Документация   Разработка   Контакты   Поиск   Карта сайта   Wiki   Блоги
Разделы Wiki:   Admin  APT  Sandbox

Настройка FIAIF для работы каналов IPsec

Настройка зон FIAIF для обеспечения работы канала IPsec.

Рассматривается схема вида

                        Gateway1                                
{192.168.0.0/24} <-> 192.168.0.254                 Gateway2
                        172.16.0.1  < ...... >   172.31.255.1
                                                   10.0.0.254 <-> {10.0.0.0/24}

и настройки шлюза Gateway1.

В конфигурационном файле интерфейса 172.16.0.1:

1. Для работы IKE должно быть разрешено получение пакетов udp/isakmp с 172.31.255.1

INPUT[${#INPUT[@]}]="ACCEPT udp        isakmp 172.31.255.1/32=>172.16.0.1/32"

При использовании NAT-T - также требуется разрешение получения пакетов udp/4500:

INPUT[${#INPUT[@]}]="ACCEPT udp        4500   172.31.255.1/32=>172.16.0.1/32"

2. Теоретически должны быть правила, разрешающие получение пакетов ESP и AH, вида

INPUT[${#INPUT[@]}]="ACCEPT ipv6-crypt 172.31.255.1/32=>172.16.0.1/32"
INPUT[${#INPUT[@]}]="ACCEPT ipv6-auth  172.31.255.1/32=>172.16.0.1/32"

На практике для как минимум 2.6.18-ovz-smp туннели работают и без них.

3. Для прохождения трафика IPsec в удалённые сети через внешний интерфейс эти сети должны быть перечислены в NET_EXTRA:

NET_EXTRA="10.0.0.0/24"

4. При необходимости дополнительной фильтрации трафика из 192.168.0.0/24 в 10.0.0.0/24 соответствующие правила вносятся в FORWARD[].

В fiaif.conf указывается:

5. Модули IPsec, загружаемые при запуске FIAIF:

MODULES="ip_nat_ftp ip_conntrack_ftp ah4 esp4 ipcomp af_key xfrm4_mode_transport xfrm4_mode_tunnel"

6. В случае наличия правил SNAT для пакетов из 192.168.0.0/24 требуется исключить из них пакеты, предназначающиеся для 10.0.0.0/24. Проще всего вставить правила в nat/POSTROUTING в POST_START_SCRIPT[]:

POST_START_SCRIPT[0]="/sbin/iptables -t nat -I POSTROUTING 1 -d 10.0.0.0/24 -j ACCEPT"

7. При наличии правил REDIRECT_XXX для, например, перенаправления обращений из 192.168.0.0/24 на прозрачный Squid, требуется исключить из них пакеты, предназначающиеся для 10.0.0.0/24. Проще всего вставить правила в nat/PREROUTING в POST_START_SCRIPT[]:

POST_START_SCRIPT[1]="/sbin/iptables -t nat -I PREROUTING  1 -d 10.0.0.0/24 -j ACCEPT" 

Дата создания: 2010-10-24 21:27:50 (Фетисов Н. А. (naf))
Последнее изменение: 2010-10-24 21:27:50 (Фетисов Н. А. (naf))
Владелец: Фетисов Н. А. (naf)
Версия: 1


  Не показывать комментарии


Wiki::Admin   Карта раздела  Оглавление  Изменения за сутки  Изменения за неделю  Изменения за месяц



Быстрый поиск по Wiki:
И ИЛИ

На эту страницу ссылаются:

©2006-2024 OSS Group. All rights reserved. | Техническая поддержка: Открытые Информационные Технологии и Системы