OSS Group :: Admin :: Настройка FIAIF для работы каналов IPsec |
|
|
|||||
|
OSS Group :: Admin :: Настройка FIAIF для работы каналов IPsec |
||||||
|
![[~]](/files/ossg/images/icons/printer.png "Версия для печати (новое окно)"){kind=icon} Настройка FIAIF для работы каналов IPsecНастройка зон FIAIF для обеспечения работы канала IPsec. Рассматривается схема вида
Gateway1
{192.168.0.0/24} <-> 192.168.0.254 Gateway2
172.16.0.1 < ...... > 172.31.255.1
10.0.0.254 <-> {10.0.0.0/24}
и настройки шлюза Gateway1. В конфигурационном файле интерфейса 172.16.0.1:1. Для работы IKE должно быть разрешено получение пакетов udp/isakmp с 172.31.255.1
INPUT[${#INPUT[@]}]="ACCEPT udp isakmp 172.31.255.1/32=>172.16.0.1/32"
При использовании NAT-T - также требуется разрешение получения пакетов udp/4500:
INPUT[${#INPUT[@]}]="ACCEPT udp 4500 172.31.255.1/32=>172.16.0.1/32"
2. Теоретически должны быть правила, разрешающие получение пакетов ESP и AH, вида
INPUT[${#INPUT[@]}]="ACCEPT ipv6-crypt 172.31.255.1/32=>172.16.0.1/32"
INPUT[${#INPUT[@]}]="ACCEPT ipv6-auth 172.31.255.1/32=>172.16.0.1/32"
На практике для как минимум 2.6.18-ovz-smp туннели работают и без них. 3. Для прохождения трафика IPsec в удалённые сети через внешний интерфейс эти сети должны быть перечислены в NET_EXTRA: NET_EXTRA="10.0.0.0/24" 4. При необходимости дополнительной фильтрации трафика из 192.168.0.0/24 в 10.0.0.0/24 соответствующие правила вносятся в FORWARD[]. В fiaif.conf указывается:5. Модули IPsec, загружаемые при запуске FIAIF: MODULES="ip_nat_ftp ip_conntrack_ftp ah4 esp4 ipcomp af_key xfrm4_mode_transport xfrm4_mode_tunnel" 6. В случае наличия правил SNAT для пакетов из 192.168.0.0/24 требуется исключить из них пакеты, предназначающиеся для 10.0.0.0/24. Проще всего вставить правила в nat/POSTROUTING в POST_START_SCRIPT[]: POST_START_SCRIPT[0]="/sbin/iptables -t nat -I POSTROUTING 1 -d 10.0.0.0/24 -j ACCEPT" 7. При наличии правил REDIRECT_XXX для, например, перенаправления обращений из 192.168.0.0/24 на прозрачный Squid, требуется исключить из них пакеты, предназначающиеся для 10.0.0.0/24. Проще всего вставить правила в nat/PREROUTING в POST_START_SCRIPT[]: POST_START_SCRIPT[1]="/sbin/iptables -t nat -I PREROUTING 1 -d 10.0.0.0/24 -j ACCEPT"
Дата создания: 2010-10-24 21:27:50 (Фетисов Н. А. (naf)) Не показывать комментарии Wiki::Admin Оглавление Карта раздела Изменения за сутки Изменения за неделю Изменения за месяц |
|
© 2006-2024 OSS Group. All rights reserved. | Техническая поддержка: Открытые Информационные Технологии и Системы
|
![[Valid RSS]](/files/ossg/images/banners/valid-rss-rogers.png "Valid RSS feed")
Быстрый поиск по Wiki![[]](/files/ossg/images/feed/feed-icon-10x10.png "RSS 2.0"){kind=icon}
