From: Maxim Tyurin <mrkooll@bungarus.info>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] ipsec vs. tc
Date: Mon, 20 Mar 2006 13:02:41 +0200
Message-ID: <m37j6pe5v2.fsf@mrkooll.tdr.pibhe.com> (raw)
In-Reply-To: <58157.217.147.104.220.1142848594.squirrel@squirrel.peet.spb.ru> (Peter V. Saveliev's message of "Mon, 20 Mar 2006 12:56:34 +0300 (MSK)")
Peter V. Saveliev writes:
> ...
>
> Есть вопрос: кто-нибудь тут имеет опыт селективной
> работы с траффиком, идущим через транспортный ipsec?
>
> Поднял racoon с psk, как описано в lartc, доволен
> как слон, но есть одна проблема: tc filters (u32 по
> портам) на этом траффике вообще не работают, как там
> с iptables ещё не смотрел, но, чувствую, то же
> самое -- ведь в сети только arp, ah и esp, и баста.
> Бесполезный теперь tcpdump :) я согласен принести в
> жертву, но сортировка траффика по портам, а не только
> по адресам, для меня до сих пор была жизненно важна.
>
> Отказаться от ipsec тоже не могу, т.к. траффик идёт
> через wifi, тут просто выбора нет. Железному
> шЫфрованию не доверяю, да и излишне нагружать и без
> того убитый dlink не охота, производительность у него
> оказалась стремящейся к нулю.
>
> У кого какие мысли?
Переходить на ipsec который предоставляет ipsec устройство.
На openswan c KLIPS патчем.
tcpdump точно работает. tc тоже.
Если тебе нужен для 2.6.x ядра то я могу собрать новый openswan (а ты
его нормально протестируешь ;)
/me пока ядру 2.6 не доверяет
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
next prev parent reply other threads:[~2006-03-20 11:02 UTC|newest]
Thread overview: 7+ messages / expand[flat|nested] mbox.gz Atom feed top
2006-03-20 9:56 Peter V. Saveliev
2006-03-20 11:02 ` Maxim Tyurin [this message]
2006-03-20 11:19 ` Peter V. Saveliev
2006-03-20 11:58 ` Maxim Tyurin
2006-03-20 13:37 ` Peter V. Saveliev
2006-03-20 14:50 ` Maxim Tyurin
2006-03-26 18:24 ` Marat Khayrullin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=m37j6pe5v2.fsf@mrkooll.tdr.pibhe.com \
--to=mrkooll@bungarus.info \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git