Re: FreeSwan et iptables

トップ ページ

このメッセージに返信
著者: Luc Saccavini
日付:  
To: Marc Chachereau
CC: guilde
題目: Re: FreeSwan et iptables
marc.chachereau@??? said:
> sur un "proxy firewall" protégeant un intranet d'un autre ... (ne pas
> chercher à comprendre, trop complexe), nous souhaitons utiliser
> FreeSwan pour offrir une fonction VPN. Notre proxy/firewall possède
> deux interfaces réseaux, eth0 et eth1. nous utilisons une possibilité
> avancé de filtrage d'iptable "queue" nous permettant de traiter les
> paquets à un niveau applicatif après leur passage dans la chaîne
> input. Sans VPN tout fonctionne sans problème. Avec VPN, tout se
> complique, le VPN donne directement accès ou sous réseau de
> l'interface eth1. Les paquets encryptés sont décryptés par free/swan
> et ne peuvent être traités par notre proxy/firewall. En effet, pour
> que le traitement puisse avoir lieu il faut que nos trames décryptées
> soient réinjectées dans la chaîne INPUT par eth0.


Il manque un peu de contexte pour bien comprendre la problématique, mais
à priori il y deux pistes qui peuvent peut-être creusées :

-faire de l'IPsec sans chiffrement (uniquement authentification AH,
pas d'ESP)

-faire du tunnel L2TP (RFC2661), mais c'est une solution plutôt adaptée
à du VPN client pour des nomades (toujours si le chifremment n'est pas
une nécessité)

Luc Saccavini