主页 / server / 问题 / 729879
Accepted
Michael
Asked: 2015-10-19 05:56:52 +0800 CST

IPSec:是否可以检查数据包是否通过 IPSec 隧道传递?[复制]

  • 772

在我们的部署中,我们有两台服务器。我想通过主机连接到主机 VPN:Host-To-Host VPN Using Openswan

在一台服务器上,我们在第二台服务器上有 JMS 代理,我们有 JMS 客户端,我希望仅当它通过 IPSec 通道传递时才允许访问 JMS 代理(JMS 代理和客户端仅用于示例)。

是否可以检查数据包是否通过 IPSec 通道传递?

ipsec

1 个回答

  1. Best Answer

    您可以根据特定字段 ipsec 过滤数据包。例如,您可以通过 -m 选项或 --match 使用 iptables 提供的不同模块:

    • 政策
    • 特别是
    • IP 源和目标隧道

    http://linux.die.net/man/8/iptables,见匹配扩展

    政策

    此模块与 IPsec 用于处理数据包的策略相匹配。

    --dir 输入|输出

    用于选择是否匹配用于解封装的策略或将用于封装的策略。in 在 PREROUTING、INPUT 和 FORWARD 链中有效,out 在 POSTROUTING、OUTPUT 和 FORWARD 链中有效。

    --pol 无|ipsec

    如果数据包受 IPsec 处理,则匹配。

    - 严格的

    如果策略的任何规则与给定策略匹配,则选择是匹配确切的策略还是匹配。

    --reqid id

    匹配策略规则的reqid。reqid 可以通过 setkey(8) 使用 unique:id 作为级别来指定。

    --spi spi

    匹配 SA 的 SPI。

    --proto ah|esp|ipcomp

    匹配封装协议。

    --mode 隧道|传输

    匹配封装模式。

    --tunnel-src 地址[/mask]

    匹配隧道模式SA的源端点地址。仅对 --mode 隧道有效。

    --tunnel-dst 地址[/掩码]

    匹配隧道模式SA的目的端点地址。仅对 --mode 隧道有效。

    - 下一个

    开始策略规范中的下一个元素。只能与 --strict 一起使用

    • 1

相关问题