sslug-teknik team mailing list archive

Thread
Date

Re: IPSEC vs. NAT'ing *DSL router?

To: <sslug-teknik@xxxxxxxx>
From: "Niklas Palmqvist" <npalmqvist@xxxxxxxxxx>
Date: Wed, 14 May 2003 09:38:52 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

[snip]

> > Jeg har opsat en løsning, hvor den ene ende udgøres af en cisco 2500
> > (som jeg ingen kontrol har over; ISP'en sørger blot for at den er åben,
> > og især at der ikke er reverse-path filtering aktiveret!), der NAT'er
> > til et 10. net. Bagved står Linux boxen, der fungerer som firewall/ipsec
> > 'concentrator' og masq-router til seks interne net.
> > Ude i byen har firmaet tre afdelinger, med tilsvarende Linux boxe (dog
> > uden de mange interne net), koblet direkte til TDC adsl uden router.
>
> Det lyder meget som det jeg vil sætte op. Hvad er det der reverse-path
> filtering ?

Ett filter som filtrerar ut privata (RFC 1918) IP adresser som kommer in på
ett externt interface, för att undvika IP spoofing (Martian source).

På en Linux låda så ligger det normalt i
/proc/sys/net/ipv4/conf/[interface]/rp_filter.

AFAIK, FreeS/WAN rekommenderar normalt att stänga av det, i.e. 0, men det
beror på din konfiguration, jag har många tunnlar som fortfarande har det
aktivt, men kan troligtvis inte vara på i en situation som är beskriven
överst (på traversal routern).

Niklas
--------

Follow ups

Re: IPSEC vs. NAT'ing *DSL router?
From: Mogens Valentin, 2003-05-14

References

IPSEC vs. NAT'ing *DSL router?
From: Jon Bendtsen, 2003-05-13
Re: IPSEC vs. NAT'ing *DSL router?
From: Mogens Valentin, 2003-05-13
Re: IPSEC vs. NAT'ing *DSL router?
From: Jon Bendtsen, 2003-05-14