ipsecでの-p 50パケット許可 が必要な理由
Yasushi Shinjo
In article <bplbmk$rrk$1...@wa1.seikyou.ne.jp>
"YYoshikawa" <YukaYo...@sings.jp> writes:
> /sbin/iptables -A INPUT -i ppp0 -p tcp -m state --state ESTABLISHED --sport
> 50 -j ACCEPT
> /sbin/iptables -A INPUT -i ppp0 -p udp --dport 500 -j ACCEPT
...
> /sbin/iptables -A INPUT -i ppp0 -p 50 -j ACCEPT
> /sbin/iptables -A OUTPUT -o ppp0 -p 50 -j ACCEPT
> を双方のRedhat9で実行してからWin2kからpingが通りました。
> 所で、この「-p 50」ってipv6-cryptの事なんですよね。
> このルールはどうして必要なんでしょうか?
「/sbin/iptables -A INPUT -i ppp0 -p 50 -j ACCEPT」は、
(1) 入力インタフェースが ppp0 で、かつ、
(2) プロトコルが 50 なら、
(3) ACCEPT に飛べ
というルールを、INPUT に入れろと読みます。
-p 50 は、次のファイルに入っている番号です。
------------------------------------------------------------
% egrep 'tcp|udp|50' /etc/protocols
tcp 6 TCP # transmission control protocol
udp 17 UDP # user datagram protocol
ipv6-crypt 50 IPv6-Crypt # Encryption Header for IPv6
%
------------------------------------------------------------
tcp なら 6, udp なら、17。
> 所で、この「-p 50」ってipv6-cryptの事なんですよね。
> このルールはどうして必要なんでしょうか?
IPv6 は使っていないのに、ipv6- が出てくるのは何故だというの
が質問ですか。ipv4 も ipv6 も、同じ番号使っているんじゃない
ですかね。
続きは、Followup-To: fj.net.ip ということで。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\
YYoshikawa
>> 所で、この「-p 50」ってipv6-cryptの事なんですよね。
>> このルールはどうして必要なんでしょうか?
> IPv6 は使っていないのに、ipv6- が出てくるのは何故だというの
> が質問ですか。ipv4 も ipv6 も、同じ番号使っているんじゃない
> ですかね。
そうなんですか!?
全く知りませんでした。
勉強になります。