IPSec: é possível verificar se um pacote passou pelo túnel IPSec? [duplicado]

1

Na nossa implantação, temos dois servidores. Quero conectá-lo via host para hospedar VPN: Host -Para Host VPN usando Openswan

Em um servidor, temos o broker JMS no segundo servidor em que temos o cliente JMS e queremos permitir acesso ao broker JMS apenas se ele for transmitido por meio do canal IPSec (o broker e o cliente JMS são apenas para o exemplo).

É possível verificar se os pacotes passam pelo canal IPSec?

    
por Michael 18.10.2015 / 15:56

1 resposta

1

você pode filtrar pacotes com base em campos específicos ipsec. Por exemplo, você pode usar os diferentes módulos oferecidos pelo iptables com a opção -m ou --match:

  • política
  • ha
  • esp
  • Fontes de IP e túnel de destino

link , consulte as extensões de correspondência

policy

This modules matches the policy used by IPsec for handling a packet.

--dir in|out

Used to select whether to match the policy used for decapsulation or the policy that will be used for encapsulation. in is valid in the PREROUTING, INPUT and FORWARD chains, out is valid in the POSTROUTING, OUTPUT and FORWARD chains.

--pol none|ipsec

Matches if the packet is subject to IPsec processing.

--strict

Selects whether to match the exact policy or match if any rule of the policy matches the given policy.

--reqid id

Matches the reqid of the policy rule. The reqid can be specified with setkey(8) using unique:id as level.

--spi spi

Matches the SPI of the SA.

--proto ah|esp|ipcomp

Matches the encapsulation protocol.

--mode tunnel|transport

Matches the encapsulation mode.

--tunnel-src addr[/mask]

Matches the source end-point address of a tunnel mode SA. Only valid with --mode tunnel.

--tunnel-dst addr[/mask]

Matches the destination end-point address of a tunnel mode SA. Only valid with --mode tunnel.

--next

Start the next element in the policy specification. Can only be used with --strict

    
por 19.10.2015 / 09:12

Tags