Avec iptables, les paquets de correspondance sont arrivés via le tunnel IPSEC

15

J'utilise IPSEC en mode tunnel.

Comment faire une règle iptables qui ne correspondra qu'aux paquets qui sont arrivés via le tunnel IPSEC (c'est- à- dire après les avoir décryptés par IPSEC - pas les paquets IPSEC à leur arrivée et avant le décryptage).

Le but est d'avoir un certain port qui ne sera accessible que via IPSEC et inaccessible au reste du monde.

Sandman4
la source

Réponses:

15

Vous devez utiliser le module de stratégie et spécifier la ipsecstratégie pour faire correspondre ce trafic. La règle suivante, par exemple, autorise tout le trafic entrant vers le port TCP 12345. N'oubliez pas que l'ordre des règles est important dans iptables, et que vous devrez peut-être également autoriser les demi-paquets de retour, en fonction de vos OUTPUTrestrictions actuelles .

iptables -A INPUT -m policy --pol ipsec --dir in -p tcp --dport 12345 -j ACCEPT
Chapelier Fou
la source
Enfin, je l'ai testé, et en effet cela fonctionne pour moi. Merci.
Sandman4
Heureux que vous ayez résolu votre problème!
MadHatter