Re: FreeSwan et iptables

トップ ページ

このメッセージに返信
著者: Letuffe Sylvain
日付:  
To: guilde
題目: Re: FreeSwan et iptables
Salut,

J'ai déjà eu à mettre en place de telles configurations,
et je crois qu'il n'existe qu'une solution :
- faire en sorte que le firewall annalyse les trames à la sortie du tunnel VPN


> Avec VPN, tout se complique, le VPN donne directement accès ou sous réseau
> de l'interface eth1.


heu... c'est un peu faux quand même, si le firewall interdit l'arrivé des
paquets ipsec rien ne passera au niveau VPN...


> traitement puisse avoir lieu il faut que nos trames décryptées soient
> réinjectées dans la chaîne INPUT par eth0.


Alors ça c'est l'idée mais inutile d'imaginer qu'il va falloir re-router les
paquets vers eth0 !!!

l'idée est peut-être de crèè une chaine définie à la main pour les deux cas
et de faire un :

iptables -A FORWARD -i eth0                   -j analyse_venant_eth0
iptables -A FORWARD -i ipsec0               -j analyse_venant_du_tunnel


Diagrammes en ASCII si t'arrives à lire:

Avec VPN & sans:

trames IP ---->----- eth0 ---->--- analyse ---->--

->--si VPN --- accept --- freeswan/decript --- passage ipsec0 ----- analyse
FORWARD --- routage vers eth1 ...

->--si normales ---- analyse FORWARD ---- routage vers eth1 ...