From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <58157.217.147.104.220.1142848594.squirrel@squirrel.peet.spb.ru> Date: Mon, 20 Mar 2006 12:56:34 +0300 (MSK) From: "Peter V. Saveliev" To: sysadmins@lists.altlinux.org User-Agent: SquirrelMail/1.4.2 MIME-Version: 1.0 Content-Type: text/plain;charset=utf-8 Content-Transfer-Encoding: 8bit X-Priority: 3 Importance: Normal X-Spam-Checker-Version: SpamAssassin 3.0.4 (2005-06-05) on radlinux.org X-Spam-Level: X-Spam-Status: No, score=-5.9 required=5.0 tests=ALL_TRUSTED,BAYES_00 autolearn=failed version=3.0.4 Subject: [Sysadmins] ipsec vs. tc X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 20 Mar 2006 09:56:35 -0000 Archived-At: List-Archive: ... Есть вопрос: кто-нибудь тут имеет опыт селективной работы с траффиком, идущим через транспортный ipsec? Поднял racoon с psk, как описано в lartc, доволен как слон, но есть одна проблема: tc filters (u32 по портам) на этом траффике вообще не работают, как там с iptables ещё не смотрел, но, чувствую, то же самое -- ведь в сети только arp, ah и esp, и баста. Бесполезный теперь tcpdump :) я согласен принести в жертву, но сортировка траффика по портам, а не только по адресам, для меня до сих пор была жизненно важна. Отказаться от ipsec тоже не могу, т.к. траффик идёт через wifi, тут просто выбора нет. Железному шЫфрованию не доверяю, да и излишне нагружать и без того убитый dlink не охота, производительность у него оказалась стремящейся к нулю. У кого какие мысли? -- Peter V. Saveliev