From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mrkooll@bungarus.info>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <58157.217.147.104.220.1142848594.squirrel@squirrel.peet.spb.ru>
X-Request-PGP: x-hkp://random.sks.keyserver.penguin.de
X-PGP-KeyID: 4A101D3B
From: Maxim Tyurin <mrkooll@bungarus.info>
Date: Mon, 20 Mar 2006 13:02:41 +0200
In-Reply-To: <58157.217.147.104.220.1142848594.squirrel@squirrel.peet.spb.ru>
	(Peter
	V. Saveliev's message of "Mon, 20 Mar 2006 12:56:34 +0300 (MSK)")
Message-ID: <m37j6pe5v2.fsf@mrkooll.tdr.pibhe.com>
User-Agent: Gnus/5.1006 (Gnus v5.10.6) Emacs/21.4 (gnu/linux)
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] ipsec vs. tc
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.7
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 20 Mar 2006 11:02:43 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/m37j6pe5v2.fsf@mrkooll.tdr.pibhe.com/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Peter V. Saveliev writes:

> ...
>
> Есть вопрос: кто-нибудь тут имеет опыт селективной
> работы с траффиком, идущим через транспортный ipsec?
>
> Поднял racoon с psk, как описано в lartc, доволен
> как слон, но есть одна проблема: tc filters (u32 по
> портам) на этом траффике вообще не работают, как там
> с iptables ещё не смотрел, но, чувствую, то же
> самое -- ведь в сети только arp, ah и esp, и баста.
> Бесполезный теперь tcpdump :) я согласен принести в
> жертву, но сортировка траффика по портам, а не только
> по адресам, для меня до сих пор была жизненно важна.
>
> Отказаться от ipsec тоже не могу, т.к. траффик идёт
> через wifi, тут просто выбора нет. Железному
> шЫфрованию не доверяю, да и излишне нагружать и без
> того убитый dlink не охота, производительность у него
> оказалась стремящейся к нулю.
>
> У кого какие мысли?

Переходить на ipsec который предоставляет ipsec устройство.
На openswan c KLIPS патчем.
tcpdump точно работает. tc тоже.

Если тебе нужен для 2.6.x ядра то я могу собрать новый openswan (а ты
его нормально протестируешь ;)

/me пока ядру 2.6 не доверяет
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/