我在隧道模式下使用 IPSEC。
如何制定一个 iptables 规则,只匹配通过 IPSEC 隧道到达的数据包(即在IPSEC 解密它们之后 -而不是在它们到达时和解密之前的 IPSEC 数据包)。
关键是要有一个只能通过 IPSEC 访问而世界其他地方无法访问的特定端口。
是否可以在端口范围内要求 IPSEC ?除了一些公共端口(如 80 和 443)之外,我希望所有传入连接都需要 IPSEC,但不想限制传出连接。
我的 SPD 规则如下所示:
spdadd 0.0.0.0/0 0.0.0.0/0[80] tcp -P in none;
spdadd 0.0.0.0/0 0.0.0.0/0[443] tcp -P in none;
spdadd 0.0.0.0/0 0.0.0.0/0[0....32767] tcp -P in esp/require/transport;
在setkey联机帮助页中,我看到了IP范围,但没有提及端口范围。
(想法是使用 IPSEC 作为一种 VPN 来保护多个服务器之间的内部通信。我不想基于源 IP 配置权限或配置特定端口,而是希望在任何不公开的东西上要求 IPSEC - 我感觉这样不容易出错。)
NSEC3 记录中是否有关于盐长度的建议?更长的盐是否意味着更好的安全性,更长的盐会影响(权威)服务器的性能吗?
DNSSEC 操作实践未提及盐长度。
在查看带有 DNSSEC 列表的 TLD 时,我看到 .COM 使用零长度盐(无盐),而一些 TLD 使用长达 16 字节的盐。有什么理由吗?