ipsecでの-p 50パケット許可 が必要な理由
YYoshikawa
Win2k(192.168.2.102)
|
eth0(192.168.2.2)
RedHat9
ppp0
|
ADSLモデム
|(↑事務所側)
|
WAN
|
|(↓自宅側)
ADSLモデム
|
ppp0
RedHat9
eth0(192.168.0.1)
|
Win2k(192.168.0.89)
として"事務所⇔自宅"でipsecでのトンネリンをおこなっています。
# uname -a
Linux hoge.co.jp 2.4.20-8 #1 Thu Mar 13 17:54:28 EST 2003 i686 i686 i386
GNU/Linux
としてカーネルのバージョンを確認してから
ftp://ftp.xs4all.nl/pub/crypto/freeswan/binaries/RedHat-RPMs/2.4.20-8/
から
freeswan-module-2.01_2.4.20_8-0.i386.rpm
freeswan-userland-2.01_2.4.20_8-0.i386.rpm
をダウンロード・インストールしました。
jitaku.ddyn.netのppp0のアドレス…hhh.hhh.hhh.hhh
jitaku.ddyn.netのP-t-Pアドレス…xxx.xxx.xxx.xxx
jimusho.ddyn.netのppp0のアドレス…ooo.ooo.ooo.ooo
jimusho.ddyn.netのP-t-Pアドレス…yyy.yyy.yyy.yyy
で表す事にします。
[ro...@jitaku.ddyn.net]# grep -v ^# /etc/ipsec.conf
version 2.0 # conforms to second version of ipsec.conf specification
config setup
interfaces="ipsec0=ppp0"
klipsdebug=none
plutodebug=none
conn %default
type=tunnel
keyingtries=10
authby=rsasig
keylife=1h
pfs=yes
conn jitaku-to-jimusho
left=hhh.hhh.hhh.hhh
leftsubnet=192.168.0.0/24
leftid=@jitaku.ddyn.net
leftrsasigkey=0sAQP…pA9VU9
leftnexthop=xxx.xxx.xxx.xxx
right=ooo.ooo.ooo.ooo
rightsubnet=192.168.2.0/24
rightid=@jimusho.ddyn.net
rightrsasigkey=0sAQN7…6IXIn
rightnexthop=yyy.yyy.yyy.yyy
auto=add
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
[ro...@jitaku.ddyn.net]# grep -v ^# /etc/ipsec.secrets
hhh.hhh.hhh.hhh ooo.ooo.ooo.ooo : PSK "qom3TSCN"
: RSA {
# RSA 2192 bits jitaku.ddyn.net Mon Sep 8 16:30:37 2003
# for signatures only, UNSAFE FOR ENCRYPTION
#pubkey=0sAQ…A9VU9
:
(以下省略)
:
[ro...@jimusho.ddyn.net]# grep -v ^# /etc/ipsec.conf
version 2.0 # conforms to second version of ipsec.conf specification
config setup
interfaces="ipsec0=ppp0"
klipsdebug=none
plutodebug=none
conn %default
type=tunnel
keyingtries=0
authby=rsasig
keylife=1h
pfs=yes
conn jitaku-to-jimusho
left=ooo.ooo.ooo.ooo
leftsubnet=192.168.2.0/24
leftid=@jimusho.ddyn.net
leftrsasigkey=0sAQN…6IXIn
leftnexthop=yyy.yyy.yyy.yyy
right=hhh.hhh.hhh.hhh
rightsubnet=192.168.0.0/24
rightid=@jitaku.ddyn.net
rightrsasigkey=0sAQP…9VU9
rightnexthop=xxx.xxx.xxx.xxx
auto=add
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
[ro...@jimusho.ddyn.net]# grep -v ^# /etc/ipsec.secrets
ooo.ooo.ooo.ooo hhh.hhh.hhh.hhh : PSK "qom3TSCN"
: RSA {
# RSA 2192 bits jimusho.ddyn.net Thu Sep 4 21:06:29 2003
# for signatures only, UNSAFE FOR ENCRYPTION
#pubkey=0sAQN…IXIn
:
(以下省略)
:
と夫々記述しています。
/sbin/iptables -A INPUT -i ppp0 -p tcp -m state --state
NEW,ESTABLISHED --dport 50 -j ACCEPT
/sbin/iptables -A OUTPUT -o ppp0 -p tcp -m state --state
ESTABLISHED --sport
50 -j ACCEPT
/sbin/iptables -A OUTPUT -o ppp0 -p tcp -m state --state
NEW,ESTABLISHED --dport 50 -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p tcp -m state --state ESTABLISHED --sport
50 -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p udp --dport 500 -j ACCEPT
/sbin/iptables -A OUTPUT -o ppp0 -p udp --sport 500 -j ACCEPT
/sbin/iptables -A OUTPUT -o ppp0 -p udp --dport 500 -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p udp --sport 500 -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p udp --dport 51 -j ACCEPT
/sbin/iptables -A OUTPUT -o ppp0 -p udp --sport 51 -j ACCEPT
/sbin/iptables -A OUTPUT -o ppp0 -p udp --dport 51 -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p udp --sport 51 -j ACCEPT
/sbin/iptables -A INPUT -i ppp0 -p 50 -j ACCEPT
/sbin/iptables -A OUTPUT -o ppp0 -p 50 -j ACCEPT
を双方のRedhat9で実行してからWin2kからpingが通りました。
所で、この「-p 50」ってipv6-cryptの事なんですよね。
このルールはどうして必要なんでしょうか?
Yasushi Shinjo
In article <bplbmk$rrk$1...@wa1.seikyou.ne.jp>
"YYoshikawa" <YukaYo...@sings.jp> writes:
> /sbin/iptables -A INPUT -i ppp0 -p tcp -m state --state ESTABLISHED --sport
> 50 -j ACCEPT
> /sbin/iptables -A INPUT -i ppp0 -p udp --dport 500 -j ACCEPT
...
> /sbin/iptables -A INPUT -i ppp0 -p 50 -j ACCEPT
> /sbin/iptables -A OUTPUT -o ppp0 -p 50 -j ACCEPT
> を双方のRedhat9で実行してからWin2kからpingが通りました。
> 所で、この「-p 50」ってipv6-cryptの事なんですよね。
> このルールはどうして必要なんでしょうか?
「/sbin/iptables -A INPUT -i ppp0 -p 50 -j ACCEPT」は、
(1) 入力インタフェースが ppp0 で、かつ、
(2) プロトコルが 50 なら、
(3) ACCEPT に飛べ
というルールを、INPUT に入れろと読みます。
-p 50 は、次のファイルに入っている番号です。
------------------------------------------------------------
% egrep 'tcp|udp|50' /etc/protocols
tcp 6 TCP # transmission control protocol
udp 17 UDP # user datagram protocol
ipv6-crypt 50 IPv6-Crypt # Encryption Header for IPv6
%
------------------------------------------------------------
tcp なら 6, udp なら、17。
> 所で、この「-p 50」ってipv6-cryptの事なんですよね。
> このルールはどうして必要なんでしょうか?
IPv6 は使っていないのに、ipv6- が出てくるのは何故だというの
が質問ですか。ipv4 も ipv6 も、同じ番号使っているんじゃない
ですかね。
続きは、Followup-To: fj.net.ip ということで。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\