是否可以在端口范围内要求 IPSEC ?除了一些公共端口(如 80 和 443)之外,我希望所有传入连接都需要 IPSEC,但不想限制传出连接。
我的 SPD 规则如下所示:
spdadd 0.0.0.0/0 0.0.0.0/0[80] tcp -P in none;
spdadd 0.0.0.0/0 0.0.0.0/0[443] tcp -P in none;
spdadd 0.0.0.0/0 0.0.0.0/0[0....32767] tcp -P in esp/require/transport;
在setkey联机帮助页中,我看到了IP范围,但没有提及端口范围。
(想法是使用 IPSEC 作为一种 VPN 来保护多个服务器之间的内部通信。我不想基于源 IP 配置权限或配置特定端口,而是希望在任何不公开的东西上要求 IPSEC - 我感觉这样不容易出错。)
是的,虽然您确实可以指定 IP 范围,但无法指定端口范围。这意味着您需要为每个端口输入一个规则,或者更简单地说,您可以为此使用一个脚本,例如:
我假设这些服务器不在同一个数据中心。这实际上会导致严重的效率问题,除非这些服务器之间存在快速连接和/或您为 IPSEC 选择快速加密算法。
IPsec 和基于 TLS 的 VPN 的性能比较