sslug-teknik team mailing list archive

Thread
Date

Re: IPSEC vs. NAT'ing *DSL router?

To: sslug-teknik@xxxxxxxx
From: Mogens Valentin <monz@xxxxxxxxx>
Date: Wed, 14 May 2003 15:08:14 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Organization: Mr Dev - www.mrdev.com
Sender: root@xxxxxxxxxxxxxxxxxx

Niklas Palmqvist wrote:
> Ett filter som filtrerar ut privata (RFC 1918) IP adresser som kommer in
> på ett externt interface, för att undvika IP spoofing (Martian source).
> 
> På en Linux låda så ligger det normalt i
> /proc/sys/net/ipv4/conf/[interface]/rp_filter.
> 
> AFAIK, FreeS/WAN rekommenderar normalt att stänga av det, i.e. 0, men det
> beror på din konfiguration, jag har många tunnlar som fortfarande har det
> aktivt, men kan troligtvis inte vara på i en situation som är beskriven
> överst (på traversal routern).

Korrekt. I min konfiguration kører jeg også med rp-filter=1, virker
fint.
Det afhænger af konfigurationen. Da jeg satte systemet op, kunne jeg
ikke få hul igennem, fordi den tilsvarende filtrering var aktiveret i
Cisco routeren. Da den blev fjernet, var der ingen problemer.

Ved opsætning bør man starte med rp-filter=0, og så prøve med =1 når det
hele er kommet til at fungere.
Jeg bryder mig ikke om at køre uden.
Mener i øvrigt at have set på freeswan listen, at man ikke kan bruge
rp-filter med opportunistic encryption/roafwarriers, men kan huske feil.

-- 
Kind regards / venlig hilsen,
Mogens Valentin, Mr Dev

IT Networking, Security, Server Setup
www.danbbs.dk/~monz   mrdev@xxxxxxxxx
Phone +45 32 525 878  Cell 51 227 668

References

IPSEC vs. NAT'ing *DSL router?
From: Jon Bendtsen, 2003-05-13
Re: IPSEC vs. NAT'ing *DSL router?
From: Mogens Valentin, 2003-05-13
Re: IPSEC vs. NAT'ing *DSL router?
From: Jon Bendtsen, 2003-05-14
Re: IPSEC vs. NAT'ing *DSL router?
From: Niklas Palmqvist, 2003-05-14