* [Sysadmins] разрешить только шифрованный трафик
@ 2009-02-05 10:54 Serge
2009-02-05 11:08 ` Ivan Fedorov
0 siblings, 1 reply; 8+ messages in thread
From: Serge @ 2009-02-05 10:54 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
как с помощью iptables разрешить только прохождение esp пакетов?
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] разрешить только шифрованный трафик
2009-02-05 10:54 [Sysadmins] разрешить только шифрованный трафик Serge
@ 2009-02-05 11:08 ` Ivan Fedorov
2009-02-05 18:23 ` Maxim Tyurin
0 siblings, 1 reply; 8+ messages in thread
From: Ivan Fedorov @ 2009-02-05 11:08 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 213 bytes --]
Serge <skompan-yVpFo04wtUJUq1AO9QMCaQ@public.gmane.org> writes:
> как с помощью iptables разрешить только прохождение esp пакетов?
--proto esp ?
--protocol 50 ?
[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] разрешить только шифрованный трафик
2009-02-05 11:08 ` Ivan Fedorov
@ 2009-02-05 18:23 ` Maxim Tyurin
2009-02-05 18:47 ` Ivan Fedorov
2009-02-06 5:49 ` Serge
0 siblings, 2 replies; 8+ messages in thread
From: Maxim Tyurin @ 2009-02-05 18:23 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Ivan Fedorov writes:
> Serge <skompan-yVpFo04wtUJUq1AO9QMCaQ@public.gmane.org> writes:
>
>> как с помощью iptables разрешить только прохождение esp пакетов?
>
> --proto esp ?
> --protocol 50 ?
и еще --proto udp --dport 500
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] разрешить только шифрованный трафик
2009-02-05 18:23 ` Maxim Tyurin
@ 2009-02-05 18:47 ` Ivan Fedorov
2009-02-05 19:38 ` Maxim Tyurin
2009-02-06 5:49 ` Serge
1 sibling, 1 reply; 8+ messages in thread
From: Ivan Fedorov @ 2009-02-05 18:47 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 502 bytes --]
Maxim Tyurin <mrkooll-uSUZ9Wc3Kksk+I/owrrOrA@public.gmane.org> writes:
>> Serge <skompan-yVpFo04wtUJUq1AO9QMCaQ@public.gmane.org> writes:
>>
>>> как с помощью iptables разрешить только прохождение esp пакетов?
>>
>> --proto esp ?
>> --protocol 50 ?
>
> и еще --proto udp --dport 500
ну это СИЛЬНО индивидуально... да и вообще без L3 анализа тут нельзя
обойтись наверное...
[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] разрешить только шифрованный трафик
2009-02-05 18:47 ` Ivan Fedorov
@ 2009-02-05 19:38 ` Maxim Tyurin
2009-02-05 19:51 ` Ivan Fedorov
0 siblings, 1 reply; 8+ messages in thread
From: Maxim Tyurin @ 2009-02-05 19:38 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Ivan Fedorov writes:
> Maxim Tyurin <mrkooll-uSUZ9Wc3Kksk+I/owrrOrA@public.gmane.org> writes:
>
>>> Serge <skompan-yVpFo04wtUJUq1AO9QMCaQ@public.gmane.org> writes:
>>>
>>>> как с помощью iptables разрешить только прохождение esp пакетов?
>>>
>>> --proto esp ?
>>> --protocol 50 ?
>>
>> и еще --proto udp --dport 500
> ну это СИЛЬНО индивидуально... да и вообще без L3 анализа тут нельзя
> обойтись наверное...
Анализ никогда не помешает. А насчет сильно индивидуально или нет
нужно проводить статистические исследования - многие ли используют ESP
без IKE. ИМХО такое достаточно редко бывает.
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] разрешить только шифрованный трафик
2009-02-05 19:38 ` Maxim Tyurin
@ 2009-02-05 19:51 ` Ivan Fedorov
0 siblings, 0 replies; 8+ messages in thread
From: Ivan Fedorov @ 2009-02-05 19:51 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 874 bytes --]
Maxim Tyurin <mrkooll-uSUZ9Wc3Kksk+I/owrrOrA@public.gmane.org> writes:
>>>>> как с помощью iptables разрешить только прохождение esp пакетов?
>>>>
>>>> --proto esp ?
>>>> --protocol 50 ?
>>>
>>> и еще --proto udp --dport 500
>> ну это СИЛЬНО индивидуально... да и вообще без L3 анализа тут нельзя
>> обойтись наверное...
>
> Анализ никогда не помешает. А насчет сильно индивидуально или нет
> нужно проводить статистические исследования - многие ли используют ESP
> без IKE. ИМХО такое достаточно редко бывает.
Я про то, что по udp/500 может лезть иной траффик.
[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] разрешить только шифрованный трафик
2009-02-05 18:23 ` Maxim Tyurin
2009-02-05 18:47 ` Ivan Fedorov
@ 2009-02-06 5:49 ` Serge
2009-02-06 9:07 ` Ivan Fedorov
1 sibling, 1 reply; 8+ messages in thread
From: Serge @ 2009-02-06 5:49 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Thursday 05 February 2009 20:23:27 Maxim Tyurin wrote:
> Ivan Fedorov writes:
> > Serge <skompan-yVpFo04wtUJUq1AO9QMCaQ@public.gmane.org> writes:
> >> как с помощью iptables разрешить только прохождение esp пакетов?
> >
> > --proto esp ?
> > --protocol 50 ?
>
> и еще --proto udp --dport 500
модуль ipt_esp подгружен
но правило не грузится:
Loading rules for the "FORWARD" chain in the "filter" tableBad argument
`esp'
Try `iptables -h' or 'iptables --help' for more information.
ERROR: ./efw: /sbin/iptables -t filter -A FORWARD -j REJECT -i eth1 !
esp --src $ANYWHERE --dst $ANYWHERE
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sysadmins] разрешить только шифрованный трафик
2009-02-06 5:49 ` Serge
@ 2009-02-06 9:07 ` Ivan Fedorov
0 siblings, 0 replies; 8+ messages in thread
From: Ivan Fedorov @ 2009-02-06 9:07 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 887 bytes --]
Serge <skompan-yVpFo04wtUJUq1AO9QMCaQ@public.gmane.org> writes:
> On Thursday 05 February 2009 20:23:27 Maxim Tyurin wrote:
>> Ivan Fedorov writes:
>> > Serge <skompan-yVpFo04wtUJUq1AO9QMCaQ@public.gmane.org> writes:
>> >> как с помощью iptables разрешить только прохождение esp пакетов?
>> >
>> > --proto esp ?
>> > --protocol 50 ?
>>
>> и еще --proto udp --dport 500
>
> модуль ipt_esp подгружен
> но правило не грузится:
>
> Loading rules for the "FORWARD" chain in the "filter" tableBad argument
> `esp'
> Try `iptables -h' or 'iptables --help' for more information.
> ERROR: ./efw: /sbin/iptables -t filter -A FORWARD -j REJECT -i eth1 !
> esp --src $ANYWHERE --dst $ANYWHERE
Вы правда не видите, что esp передаётся без ключа --proto?
[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2009-02-06 9:07 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-02-05 10:54 [Sysadmins] разрешить только шифрованный трафик Serge
2009-02-05 11:08 ` Ivan Fedorov
2009-02-05 18:23 ` Maxim Tyurin
2009-02-05 18:47 ` Ivan Fedorov
2009-02-05 19:38 ` Maxim Tyurin
2009-02-05 19:51 ` Ivan Fedorov
2009-02-06 5:49 ` Serge
2009-02-06 9:07 ` Ivan Fedorov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git