https://www.opennet.ru/openforum/vsluhforumID1/76584.html Помогите пожалуйста, подскажите!<br>Какой мне нужно инсталлировать в ядро модуль, чтобы разрешить проходить пакетам на ESP протоколе. У меня фаэрволом является IPTABLES с модулями<br>ip_conntrack_netbios_ns<br>ip_nat_ftp<br>ip_conntrack_ftp<br>ip_gre<br>И подскажите правильный порядок действи я при инсталляции модуля? Рисковано ли это - менять ядро в линуксе? Где почитать про описание модулей к IPTABLES?<br> https://www.opennet.ru/openforum/vsluhforumID1/76584.html#5 Wed, 17 Oct 2007 11:54:49 GMT Скажите только, что это за ошибка при выполнении процедуры аутентификации двух удаленных узлов по VPN (tcpdump выдал)<br>ip1.tcpmux &gt; ip2.tsakmp: phase2/others ? inf[E]<br>ip2 &gt; icmp.host ip1 inreachable - admin prohibited filter<br> https://www.opennet.ru/openforum/vsluhforumID1/76584.html#4 Mon, 08 Oct 2007 06:30:32 GMT &gt;[оверквотинг удален]<br>&gt;iptables -A INPUT -p esp -j ACCEPT &lt;- это разрешение <br>&gt;непосредственно esp <br>&gt;iptables -A INPUT -p ah -j ACCEPT &lt;- это <br>&gt;разрешение ah <br>&gt;iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT &lt;- <br>&gt;это разрешение IKE <br>&gt;iptables -A INPUT -p udp --dport 4500 -j ACCEPT &lt;- это <br>&gt;разрешение NATT <br>&gt;<br>&gt;Все это довольно прилично описано в LARTC <br><br>Т.е. можно обойтись без дополнительно установленных модулей, чтобы пропускать VPN всех форматов? Интересно, а на OUTPUT не надо эти же правила прописывать, еслипакеты входят и выходят через мой шлюз?<br>Что такое LARTC? <br> https://www.opennet.ru/openforum/vsluhforumID1/76584.html#3 Fri, 05 Oct 2007 07:24:46 GMT <br>&gt;:INPUT ACCEPT [6119:344155] <br>&gt;:FORWARD ACCEPT [1685:1247089] <br>&gt;:OUTPUT ACCEPT [13109:4296753] <br>&gt;Скажите, так бюезопасно оставлять?<br><br>Все разрешено - это не очень безопасно. Зато очень удобно<br><br>&gt;-p esp -? Можно полную формулировку? Это iptables должен говорить? <br><br>Например так:<br>iptables -A INPUT -p esp -j ACCEPT<br><br>&gt;PS .. а что вопрос хороший? <br><br>Вопрос безграмотный до дальше некуда.<br><br>Ладно, попробую дать правильный ответ на неправильный вопрос.<br><br>Итак VPN у вас ipsec. Для разрешения в пакетном фильтре нужно сделать _примерно_ следующее:<br><br>iptables -A INPUT -p esp -j ACCEPT &lt;- это разрешение непосредственно esp<br>iptables -A INPUT -p ah -j ACCEPT &lt;- это разрешение ah<br>iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT &lt;- это разрешение IKE<br>iptables -A INPUT -p udp --dport 4500 -j ACCEPT &lt;- это разрешение NATT<br><br>Все это довольно прилично описано в LARTC<br> https://www.opennet.ru/openforum/vsluhforumID1/76584.html#2 Fri, 05 Oct 2007 06:05:11 GMT &gt;Эх.... какой вопрос пропадает. Песня просто <br>&gt;<br>&gt;&gt;Какой мне нужно инсталлировать в ядро модуль, чтобы разрешить проходить пакетам на <br>&gt;&gt;ESP протоколе. <br>&gt;<br>&gt;"-p esp" что-то говорит? <br><br>понял, что было - разобрался - у меня в конфигурации стояли строчки в таблице FILTER<br><br>:INPUT ACCEPT [6119:344155]<br>:FORWARD ACCEPT [1685:1247089]<br>:OUTPUT ACCEPT [13109:4296753]<br><br>а все онулил!!!<br><br>Скажите, так бюезопасно оставлять? Как вы используете эти цифры и что они значат? Да и модуль на ESP все-таки хорошо бы знать по имени.<br><br>-p esp -? Можно полную формулировку? Это iptables должен говорить?<br><br>PS .. а что вопрос хороший?<br> https://www.opennet.ru/openforum/vsluhforumID1/76584.html#1 Thu, 04 Oct 2007 10:38:14 GMT Эх.... какой вопрос пропадает. Песня просто<br><br>&gt;Какой мне нужно инсталлировать в ядро модуль, чтобы разрешить проходить пакетам на <br>&gt;ESP протоколе. <br><br>"-p esp" что-то говорит?<br><br>