ipsec - controlar trafico en enc0

jorge jorge en netsecure.cl
Mie Dic 10 10:21:56 CLST 2003 

facil...po...



El vie, 30 de 05 de 2003 a las 12:32, Víctor Pasten V. escribió:
> Esto es lo que despliega:
> ### con un ping desde el roadwarrior (ip 192.168.2.5) a un equipo red local
> (ip 192.168.1.3):
> May 30 08:23:52.371238 rule 1/0(match): block in on enc0: 192.168.2.5 >
> 192.168.1.3: icmp: echo request (encap)
> May 30 08:23:53.519115 rule 1/0(match): block in on enc0: 192.168.2.5 >
> 192.168.1.3: icmp: echo request (encap)
> 
> ### con un telnet al port 139 (para probar acceso netbios) desde el
> roadwarrior (ip 192.168.2.5) a un equipo red local (ip 192.168.1.3):
> May 30 08:24:01.261766 rule 1/0(match): block in on enc0: 192.168.2.5.1323 >
> 192.168.1.3.139: S 17785729:17785729(0) win 8760 <mss 1460,nop,nop,sackOK>
> (DF) (encap)
> May 30 08:24:04.243920 rule 1/0(match): block in on enc0: 192.168.2.5.1323 >
> 192.168.1.3.139: S 17785729:17785729(0) win 8760 <mss 1460,nop,nop,sackOK>
> (DF) (encap)
> 
> que tal???
> ----- Original Message -----
> From: "jorge" <jorge en netsecure.cl>
> To: <bsd en inf.utfsm.cl>
> Sent: Thursday, May 29, 2003 6:58 PM
> Subject: Re: ipsec - controlar trafico en enc0
> 
> 
> > y que te entrega:
> >
> > tcpdump -n -e -ttt -i pflog0 ???
> >
> > que te sale bloqueado.
> >
> >
> >
> > Jorge...
> >
> >
> > El jue, 29 de 05 de 2003 a las 18:56, Víctor Pasten V. escribió:
> > > Que tal listeros de chile, tengo una consultilla referente a controlar
> > > el trafico en la interfaz enc0 de una maquinita open 3.2 que hace de
> > > gw de vpn, he buscado harta info en internet pero no me funcionan las
> > > recetas mencionadas (incluso las de openbsd.org), y solo hay
> > > comunicacion cuando la regla de pf dice asi:
> > >
> > > pass in quick on enc0 all
> > > pass out quick on enc0 all
> > >
> > > Pero yo he querido ajustar ese acceso dejandolo así:
> > >
> > > pass in quick on enc0 from $ip_roadwarriors to $ips_locales
> > > pass out on enc0 from $ips_locales to $ip_roadwarriors
> > >
> > > Y no pasa nada, Ta bien o no???
> > >
> > > probe haciendo un telnet a una maquina que usa $ips_locales al port
> > > 139, y en pflog del gw vpn se despliega el siguiente texto:
> > >
> > > 12:52:52.473086 ip.de.equiporemoto.1258 >
> > > ip.de.1equipo.local.netbios-ssn: S 3033324483:3033324483(0) win 8760
> > > <mss 1460,nop,nop,sackOK> (DF) (encap)
> > >
> > >
> > > mas datos:
> > >
> > > - el software utilizado para los clientes es el safenet (softremote),
> > > y se le asigna una ip manualmente al cliente al momento de establecer
> > > la vpn (ip's incluidas en $ip_roadwarriors).
> > >
> > > bye.
> > --
> > jorge <jorge en netsecure.cl>
> > Netsecure
> >
-- 
jorge <jorge en netsecure.cl>
Netsecure