Bei iptables sind Übereinstimmungspakete über den IPSEC-Tunnel eingetroffen

15

Ich verwende IPSEC in einem Tunnelmodus.

Wie erstelle ich eine iptables-Regel, die nur mit Paketen übereinstimmt, die über den IPSEC-Tunnel eingegangen sind (dh nachdem IPSEC sie entschlüsselt hat - nicht mit den IPSEC-Paketen, wenn sie ankommen und bevor sie entschlüsselt werden)?

Es geht darum, einen bestimmten Port zu haben, auf den nur über IPSEC zugegriffen werden kann und der für den Rest der Welt nicht zugänglich ist.

Sandman4
quelle

Antworten:

15

Sie müssen das Richtlinienmodul verwenden und die ipsecRichtlinie angeben , um diesen Datenverkehr abzugleichen. Die folgende Regel ermöglicht beispielsweise allen eingehenden Datenverkehr zum TCP-Port 12345. Vergessen Sie nicht, dass die Reihenfolge der Regeln wichtig iptablesist und dass Sie möglicherweise auch die Rückgabe halber Pakete zulassen müssen, abhängig von Ihren aktuellen OUTPUTEinschränkungen.

iptables -A INPUT -m policy --pol ipsec --dir in -p tcp --dport 12345 -j ACCEPT
MadHatter unterstützt Monica
quelle
Endlich habe ich es getestet und es funktioniert für mich. Vielen Dank.
Sandman4
Ich bin froh, dass du dein Problem behoben hast!
MadHatter unterstützt Monica am