Am Freitag, 29. Oktober 2004 14:35 schrieb Björn Schmidt: > Hi, > > ich habe hier ein Problem bei dem ich nicht mehr weiter weiß. > Verbindungen zu meinem neuen Router sind Subnetzübergreifend nur > mit IPsec (Transport/ESP) möglich. Das Problem ist das ausgehende, > zu ssh-Verbindungen (andere habe ich noch nicht getestet) gehörende > Pakete nicht durch die Firewall kommen, FALLS IPsec aktiviert ist. > Ohne IPsec geht es. Ich benutze das IPsec aus dem Kernel 2.6 > > Das entscheidende Fragment meines Firewallscriptes: > > function INT_IFACE_accept_out() > { > $IPT_CMD -N INT_OUT > $IPT_CMD -A OUTPUT -o $INT_IFNAME -m state --state NEW > -j ULOG --ulog-prefix INT_IFACE_accept_out > $IPT_CMD -A OUTPUT -o $INT_IFNAME -m state --state NEW > -j INT_OUT > # $IPT_CMD -A OUTPUT -o $INT_IFNAME -j ULOG --ulog-prefix > INT_IFACE_esp_out # $IPT_CMD -A OUTPUT -o $INT_IFNAME -j INT_OUT > $IPT_CMD -A INT_OUT -j ACCEPT > } > > Entferne ich die Kommentarzeichen funktioniert es und meine log-File > meldet: > > Oct 29 13:51:55 skyron INT_IFACE_esp_out IN= OUT=eth0 MAC= > SRC=192.168.1.1 DST=192.168.1.2 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF > PROTO=TCP SPT=22 DPT=33087 SEQ=1084138375 ACK=1121257964 WINDOW=5792 > ACK SYN URGP=0 > > Mit Kommentarzeichen bekomme ich (das Paket wird verworfen da kein > match): > > Oct 29 13:51:05 skyron ILLEGAL_PACKET IN= OUT=eth0 MAC= SRC=192.168.1.1 > DST=192.168.1.2 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 > DPT=33085 SEQ=1048000056 ACK=1050690244 WINDOW=5792 ACK SYN URGP=0 ^^^^^^^^^^^^^^ ^^^^ Das ACK-Bit (Bestätigung) und die ACK-ID sind gesetzt, damit ist kein Verbindungsaufbau-Paket mehr (--state=NEW), sondern ein Paket einer etablierten TCP-Verbindung (--state=ESTABLISHED).
> Die Frage ist also, warum kann ich mit IPsec nicht ohne weiteres auf > "--state NEW" prüfen. Was hat IPSec damit zu tun? > Und wie muß eine Regel aussehen die mit "--state > NEW" einen Treffer liefert? ...,ESTABLISHED -- Gruß MaxX Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter nach /dev/null).