Ich verwende IPSEC in einem Tunnelmodus.
Wie erstelle ich eine iptables-Regel, die nur mit Paketen übereinstimmt, die über den IPSEC-Tunnel eingegangen sind (dh nachdem IPSEC sie entschlüsselt hat - nicht mit den IPSEC-Paketen, wenn sie ankommen und bevor sie entschlüsselt werden)?
Es geht darum, einen bestimmten Port zu haben, auf den nur über IPSEC zugegriffen werden kann und der für den Rest der Welt nicht zugänglich ist.
Antworten:
Sie müssen das Richtlinienmodul verwenden und die ipsecRichtlinie angeben , um diesen Datenverkehr abzugleichen. Die folgende Regel ermöglicht beispielsweise allen eingehenden Datenverkehr zum TCP-Port 12345. Vergessen Sie nicht, dass die Reihenfolge der Regeln wichtig iptablesist und dass Sie möglicherweise auch die Rückgabe halber Pakete zulassen müssen, abhängig von Ihren aktuellen OUTPUTEinschränkungen.
iptables -A INPUT -m policy --pol ipsec --dir in -p tcp --dport 12345 -j ACCEPT