IPSEC pres firewall

David Rohleder davro at ics.muni.cz
Thu Oct 28 20:16:07 CEST 1999


klicka at mmp.plzen-city.cz (Klicka Jan) writes:

> Preji pekne odpoledne,
>
> mame nasledujici problem:
>
> Sit, kterou spoluspravuji, je pripojena k Internetu pres Linuxovy firewall
> (modifikovany TIS FWTK, jadro 2.0.3x) v rezimu transparetni proxy. Vnitrni
> sit pouziva adresaci z RFC 1918 (192.168.0.0/16). Jedna z aplikaci, ktera se
> vyskytla, vyzaduje komunikaci pres IP SEC se serverem kdesi na Internetu.
> Takze potrebujeme procedit IP SEC pres firewall, navic s prekladem adres.
> Zasadni problem je (IMHO) v tom, ze AH protokol (ip/51) pouziva
> kryptograficke kontrolni soucty na IP zahlavi vcetne adres. K vlastni
> aplikaci ani serveru nemam pristup, jedine, co muzu ovlivnit, jsou IP
> adresy, ktere mezi sebou budou komunikovat. Takze by me zajimalo, jestli se
> nekdo s timto problemem uz setkal a je-li resitelny.
>


Pokud je to koncovy pocitac - server, tak si myslim, ze je to
neresitelne. Existuje jeste varianta IPSEC tunelu, kterou podporuje
treba cisco. IPSEC hlavicky se pridavaji az na routeru a rozbaluji se
na druhe strane (vetsinou take na routeru). Takze pokud ta aplikace
posila data primo v IPSEC a nelze vynutit aby pouzivala normalni IP,
tak je to neresitelne.

Mozna by to bylo resitelne v pripade, ze byste mohli vytvorit tunel
mezi klientem a serverem a mohli tam pouzivat privatni adresy. Pak by
nedochazelo k prepisu adres zachovaly by se tak spravne IPSEC
hlavicky. Na strane serveru to ovsem vyzaduje, aby take vytvoril tunel
a nemel u sebe sit stejnou jako mate vy.


> 		Diky
>
> 			Honza Klicka

--
-------------------------------------------------------------------------
David Rohleder						davro at ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------



More information about the net mailing list