Salut,
J'ai déjà eu à mettre en place de telles configurations,
et je crois qu'il n'existe qu'une solution :
- faire en sorte que le firewall annalyse les trames à la sortie du tunnel VPN
> Avec VPN, tout se complique, le VPN donne directement accès ou sous réseau
> de l'interface eth1.
heu... c'est un peu faux quand même, si le firewall interdit l'arrivé des
paquets ipsec rien ne passera au niveau VPN...
> traitement puisse avoir lieu il faut que nos trames décryptées soient
> réinjectées dans la chaîne INPUT par eth0.
Alors ça c'est l'idée mais inutile d'imaginer qu'il va falloir re-router les
paquets vers eth0 !!!
l'idée est peut-être de crèè une chaine définie à la main pour les deux cas
et de faire un :
iptables -A FORWARD -i eth0 -j analyse_venant_eth0
iptables -A FORWARD -i ipsec0 -j analyse_venant_du_tunnel
Diagrammes en ASCII si t'arrives à lire:
Avec VPN & sans:
trames IP ---->----- eth0 ---->--- analyse ---->--
->--si VPN --- accept --- freeswan/decript --- passage ipsec0 ----- analyse
FORWARD --- routage vers eth1 ...
->--si normales ---- analyse FORWARD ---- routage vers eth1 ...
