на главнуюВсе эхи RU.LINUX
войти ?

Re: iptables, ipsec и путь пакета в ядре

От Ivan Kuznetsov (2:5030/792) к Eugene B. Berdnikov

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


Hello

EBB> Ivan Kuznetsov <Ivan.Kuznetsov@f792.n5030.z2.fidonet.org> wrote:
IK>> Имеем некий роутер на эхотаге, на котором есть iptables и таблица
IK>> маршрутизации (большая, ибо здесь же есть bgpd с full view). Имеем
IK>> некий транзитный ip-пакет, проходящий, в общем случае, таблицы nat,
IK>> filter и mangle:
IK>>
IK>> if_in -> nat prerouting -> route1 -> filter forward -> mangle ->
IK>> if_in -> route2 -> postrouting -> if_out

EBB> Афигеть, кому-то дали два раза в if_in

Второй if_in - артефакт фидошного редактора, решившего при переносе что '->' это цитирование
:)

EBB> и пару раз сделали routing...

насколько знаю, роутинг после mangle действительно делается второй раз, т.к. в mangle в пакете может поменяться адрес назначения или появиться какая-ниуюдь метка для iproute2 и пр.

Если не прав, поправьте pls


IK>> Усложняем задачу - добавляем ipsec transformation (для
IK>> определенности, ESP). Вопрос: в каком месте в пути пакета в ядре он
IK>> пройдет эту трансформацию?

EBB> В if_gre.

не понял.
Используется штатный IPsec transformation в ядре, выделенного интерфейса под туннель нет.

Задам вопрос по другому: Пакет входит через if_in, форвардится, попадает в Security Association, шифруется/трансформируется и выходит через if_out. В какой мере к пакету, идущему по такому пути, применимы правила различных таблиц iptables?

--
С уважением, Иван Кузнецов
KIA53-RIPE

--- Msged/LNX 6.2.0
* Origin: ROGUS station (2:5030/792)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.LINUX?msgid=2:5030/792+49e3179d