|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Vova Uralsky 2:5030/1115.257 18 Sep 2007 22:44:55
To : Vova Uralsky
Subject : защитить локалку (IPsec)
--------------------------------------------------------------------------------
Vova Uralsky -> All schrieb:
> есть сегмент, в котором болтается несколько подсетей, нужно, чтобы одной
> из подсетей не мог пользоваться никто, кроме ее авторизованных
> участников, а также раздать права пользования дефолтом. Задача
аэкспериментировавшись всласть:
$ cat ipsec.conf
#flush;
spdflush;
spdadd 10.17.3.2/32 10.17.3.2/32 any -P in none;
spdadd 10.17.3.2/32 10.17.3.2/32 any -P out none;
spdadd 10.17.3.0/28 10.17.3.0/28 any -P in ipsec
ah/transport//require;
spdadd 10.17.3.0/28 10.17.3.0/28 any -P out ipsec
ah/transport//require;
spdadd 0.0.0.0/0 10.17.3.2/32 any -P in ipsec
esp/tunnel/10.17.3.3-10.17.3.2/require;
spdadd 10.17.3.2/32 0.0.0.0/0 any -P out ipsec
esp/tunnel/10.17.3.2-10.17.3.3/require;
$ route -n get default | grep gateway
gateway: 192.168.88.3
Первые два spdadd важны, иначе не пингается локальный зырнет, поскольку енот не
в состоянии сам с собой договориться о ключах. Таким образом получилось вполне
компактно и генерительнопригодно.
Однако, не смотря на все ухищрения, на маках локальный интерфейс перестает
пингаться после добавления esp/tunnel. 100%но воспроизводимо под
vinni# uname -psr
Darwin 7.9.0 powerpc
что соответствует OS X 10.3.9
Хотя, все, вроде, работает, но может кто сталкивался... Буду признателен за
совет... И еще, если прописать add'ом статический ключ, будет ли енот пытаться
его сменить?
Vova
--- Thunderbird 2.0.0.6 (Macintosh/20070728)
* Origin: Permission denied (2:5030/1115.257)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
защитить локалку (IPsec) |
Vova Uralsky |
15 Sep 2007 15:23:07 |
 защитить локалку (IPsec) |
Vova Uralsky |
18 Sep 2007 22:44:55 |
|
|
