Здравствуйте, Max. Вы писали 10 июля 2006 г., 19:44:53:
> В сообщении от 10 Июль 2006 17:14 [EMAIL PROTECTED] написал(a): >> Система Debian 3.1. >> Openswan IPsec U2.2.0/K2.4.27-3-686. >> >> Туннели работают все нормально, не хватает чтобы интерфейс >> ipsec0 подымался, правила iptables писать проще и легче >> ну и понятней. >> >> Что необходимо сделать, чтобы при работе (запуске) >> openswan создавал интерфейс ipsec0. > Имел маленький опыт с этим делом. Вообще у меня по дефолту создавались > три интерфейса ipsec0, ipsec1 и ipsec2. Зачем они нужны я так и не > понял. Но я точно понял, что это не тунели а также, что это не совсем > сетевой интерфейс. Ему можно конечно назначить IP-адрес, но работает > там все как-то по другому. Хотя я может быть и гоню. Но дока у них > до жути кривая. > -- > Макс Вот именно, что и не создаются, как был исходящий eth0 так и остался и если натравить tcpdump на него то мы увидим как и шифрованный пакет так и не шифрованный. Вот простой пример необходимо разрешить чтобы уделенные сети обменивались трафиком между собой пишем iptables -A FORWARD -i eth0 -s 1 сеть -o eth1 -d 2 сеть -j ACCEPT Вроде все красиво, работает, но то есть небольшая дыра, можно предположить если на внешний интерфейс действительно придет пакет (не из туннеля) но от хоста с ip 1 сети то он благополучно попадет во внутреннею сеть. Если не прав поправите. А если есть ipsec0 то будет уже по-другому. iptaples -A FORWARD -i ipsec0 -s 1 сеть -o eth1 -d 2 сеть -j ACCEPT вот тогда все красиво.
