Ao processar um pacote IP, o kernel examina o banco de dados da diretiva de segurança (SP) para determinar se ele deve ser protegido com IPsec. Se os identificadores do pacote (por exemplo, endereços IP, etc.) corresponderem a uma entrada SP, o kernel procurará uma Associação de Segurança (SA) apropriada no banco de dados correspondente, contendo os algoritmos, chaves e assim por diante.
Agora, o kernel do Linux aparentemente leva sempre a SA correspondente mais recente (ou seja, usando LIFO). Existe uma maneira (arquivo de configuração, comando, etc.) para alterar isso para FIFO? Eu estou trabalhando em uma solução, onde eu realmente quero "usar antigos SAs" antes de gerar novos.
Tags kernel ipsec linux linux-kernel