forum.opennet.ru

Составление сообщения

Исходное сообщение

"pf gif ipsec. Или лыжи не едут или я ничего не понимаю"
Отправлено Shaman, 13-Сен-07 19:40

>>Столкнулся с тем-же...  :-(
>>Обнаружил что если отключить шифрование, т.е. оставить чистый туннель
>>пакеты на гифе отлавливаются
>
>Кстати, как шифруешь? (транспорт или тунель?)
>покажи правила IPSEC-а...
УРРРА! Победил!!!!  :-)))
pf нормально перехватывает пакеты, если ipsec настроен в режиме транспорта
между адресами gif интерфейсов:
--------------------------------------------------------------------------------
хост-1
cat /etc/ipsec.conf
flush;
spdflush;
spdadd 10.107.7.138/32 10.107.7.137/32 any -P out ipsec esp/transport//require;
spdadd 10.107.7.137/32 10.107.7.138/32 any -P in  ipsec esp/transport//require;
ifconfig gif0
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
        tunnel inet 10.107.6.26 --> 10.107.12.19
        inet 10.107.7.138 --> 10.107.7.137 netmask 0xfffffffc
cat /etc/pf.conf|grep gif0
rdr on gif0 proto tcp from any to any port 25 -> 10.107.6.26 port 25
--------------------------------------------------------------------------------
хост-2
cat /etc/ipsec.conf
flush;
spdflush;
spdadd 10.107.7.138/32  10.107.7.137/32 any -P in  ipsec esp/transport//require;
spdadd 10.107.7.137/32  10.107.7.138/32 any -P out ipsec esp/transport//require;
ifconfig gif0
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
        tunnel inet 10.107.12.19 --> 10.107.6.26
        inet 10.107.7.137 --> 10.107.7.138 netmask 0xfffffffc
cat /etc/pf.conf|grep gif0
rdr pass on gif0 proto tcp from any to any port 25 -> 10.107.12.19 port 25
--------------------------------------------------------------------------------
[root@10.107.12.21]# telnet  10.17.40.65 25
Trying 10.17.40.65...
Connected to 10.17.40.65.
Escape character is '^]'.
220 10.107.7.138 ESMTP Sendmail 8.13.8/8.13.8; Thu, 13 Sep 2007 18:21:19 +0300 (EEST)
quit
221 2.0.0 10.107.7.138 closing connection
--------------------------------------------------------------------------------
Машинка 10.107.12.21 по цепочке находится до 10.107.7.137, а  10.17.40.65 за 10.107.7.138
где-то так 10.107.12.21 -> 10.107.7.137 (10.107.12.19) -> 10.107.7.138 (10.107.6.26) -> 10.17.40.65
Пошел на радостях пить пиво....  :-)))

Исходное сообщение
"pf gif ipsec. Или лыжи не едут или я ничего не понимаю" Отправлено Shaman, 13-Сен-07 19:40
>>Столкнулся с тем-же... :-( >>Обнаружил что если отключить шифрование, т.е. оставить чистый туннель >>пакеты на гифе отлавливаются > >Кстати, как шифруешь? (транспорт или тунель?) >покажи правила IPSEC-а... УРРРА! Победил!!!! :-))) pf нормально перехватывает пакеты, если ipsec настроен в режиме транспорта между адресами gif интерфейсов: -------------------------------------------------------------------------------- хост-1 cat /etc/ipsec.conf flush; spdflush; spdadd 10.107.7.138/32 10.107.7.137/32 any -P out ipsec esp/transport//require; spdadd 10.107.7.137/32 10.107.7.138/32 any -P in ipsec esp/transport//require; ifconfig gif0 gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280 tunnel inet 10.107.6.26 --> 10.107.12.19 inet 10.107.7.138 --> 10.107.7.137 netmask 0xfffffffc cat /etc/pf.conf\|grep gif0 rdr on gif0 proto tcp from any to any port 25 -> 10.107.6.26 port 25 -------------------------------------------------------------------------------- хост-2 cat /etc/ipsec.conf flush; spdflush; spdadd 10.107.7.138/32 10.107.7.137/32 any -P in ipsec esp/transport//require; spdadd 10.107.7.137/32 10.107.7.138/32 any -P out ipsec esp/transport//require; ifconfig gif0 gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280 tunnel inet 10.107.12.19 --> 10.107.6.26 inet 10.107.7.137 --> 10.107.7.138 netmask 0xfffffffc cat /etc/pf.conf\|grep gif0 rdr pass on gif0 proto tcp from any to any port 25 -> 10.107.12.19 port 25 -------------------------------------------------------------------------------- [root@10.107.12.21]# telnet 10.17.40.65 25 Trying 10.17.40.65... Connected to 10.17.40.65. Escape character is '^]'. 220 10.107.7.138 ESMTP Sendmail 8.13.8/8.13.8; Thu, 13 Sep 2007 18:21:19 +0300 (EEST) quit 221 2.0.0 10.107.7.138 closing connection -------------------------------------------------------------------------------- Машинка 10.107.12.21 по цепочке находится до 10.107.7.137, а 10.17.40.65 за 10.107.7.138 где-то так 10.107.12.21 -> 10.107.7.137 (10.107.12.19) -> 10.107.7.138 (10.107.6.26) -> 10.17.40.65 Пошел на радостях пить пиво.... :-)))

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>>Столкнулся с тем-же... :-( >>>Обнаружил что если отключить шифрование, т.е. оставить чистый туннель >>>пакеты на гифе отлавливаются >> >>Кстати, как шифруешь? (транспорт или тунель?) >>покажи правила IPSEC-а... > УРРРА! Победил!!!! :-))) > pf нормально перехватывает пакеты, если ipsec настроен в режиме транспорта > между адресами gif интерфейсов: > -------------------------------------------------------------------------------- > хост-1 > cat /etc/ipsec.conf > flush; > spdflush; > spdadd 10.107.7.138/32 10.107.7.137/32 any -P out ipsec esp/transport//require; > spdadd 10.107.7.137/32 10.107.7.138/32 any -P in ipsec esp/transport//require; > ifconfig gif0 > gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280 > tunnel inet 10.107.6.26 --> > 10.107.12.19 > inet 10.107.7.138 --> 10.107.7.137 > netmask 0xfffffffc > cat /etc/pf.conf\|grep gif0 > rdr on gif0 proto tcp from any to any port 25 -> > 10.107.6.26 port 25 > -------------------------------------------------------------------------------- > хост-2 > cat /etc/ipsec.conf > flush; > spdflush; > spdadd 10.107.7.138/32 10.107.7.137/32 any -P in ipsec esp/transport//require; > spdadd 10.107.7.137/32 10.107.7.138/32 any -P out ipsec esp/transport//require; > ifconfig gif0 > gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280 > tunnel inet 10.107.12.19 --> > 10.107.6.26 > inet 10.107.7.137 --> 10.107.7.138 > netmask 0xfffffffc > cat /etc/pf.conf\|grep gif0 > rdr pass on gif0 proto tcp from any to any port 25 > -> 10.107.12.19 port 25 > -------------------------------------------------------------------------------- > [root@10.107.12.21]# telnet 10.17.40.65 25 > Trying 10.17.40.65... > Connected to 10.17.40.65. > Escape character is '^]'. > 220 10.107.7.138 ESMTP Sendmail 8.13.8/8.13.8; Thu, 13 Sep 2007 18:21:19 +0300 (EEST) > quit > 221 2.0.0 10.107.7.138 closing connection > -------------------------------------------------------------------------------- > Машинка 10.107.12.21 по цепочке находится до 10.107.7.137, а 10.17.40.65 за 10.107.7.138 > где-то так 10.107.12.21 -> 10.107.7.137 (10.107.12.19) -> 10.107.7.138 (10.107.6.26) > -> 10.17.40.65 > Пошел на радостях пить пиво.... :-)))
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру