ipsec - controlar trafico en enc0

Víctor Pasten V. victor en aciertonet.com
Vie Mayo 30 12:32:28 CLT 2003 

Esto es lo que despliega:
### con un ping desde el roadwarrior (ip 192.168.2.5) a un equipo red local
(ip 192.168.1.3):
May 30 08:23:52.371238 rule 1/0(match): block in on enc0: 192.168.2.5 >
192.168.1.3: icmp: echo request (encap)
May 30 08:23:53.519115 rule 1/0(match): block in on enc0: 192.168.2.5 >
192.168.1.3: icmp: echo request (encap)

### con un telnet al port 139 (para probar acceso netbios) desde el
roadwarrior (ip 192.168.2.5) a un equipo red local (ip 192.168.1.3):
May 30 08:24:01.261766 rule 1/0(match): block in on enc0: 192.168.2.5.1323 >
192.168.1.3.139: S 17785729:17785729(0) win 8760 <mss 1460,nop,nop,sackOK>
(DF) (encap)
May 30 08:24:04.243920 rule 1/0(match): block in on enc0: 192.168.2.5.1323 >
192.168.1.3.139: S 17785729:17785729(0) win 8760 <mss 1460,nop,nop,sackOK>
(DF) (encap)

que tal???
----- Original Message -----
From: "jorge" <jorge en netsecure.cl>
To: <bsd en inf.utfsm.cl>
Sent: Thursday, May 29, 2003 6:58 PM
Subject: Re: ipsec - controlar trafico en enc0


> y que te entrega:
>
> tcpdump -n -e -ttt -i pflog0 ???
>
> que te sale bloqueado.
>
>
>
> Jorge...
>
>
> El jue, 29 de 05 de 2003 a las 18:56, Víctor Pasten V. escribió:
> > Que tal listeros de chile, tengo una consultilla referente a controlar
> > el trafico en la interfaz enc0 de una maquinita open 3.2 que hace de
> > gw de vpn, he buscado harta info en internet pero no me funcionan las
> > recetas mencionadas (incluso las de openbsd.org), y solo hay
> > comunicacion cuando la regla de pf dice asi:
> >
> > pass in quick on enc0 all
> > pass out quick on enc0 all
> >
> > Pero yo he querido ajustar ese acceso dejandolo así:
> >
> > pass in quick on enc0 from $ip_roadwarriors to $ips_locales
> > pass out on enc0 from $ips_locales to $ip_roadwarriors
> >
> > Y no pasa nada, Ta bien o no???
> >
> > probe haciendo un telnet a una maquina que usa $ips_locales al port
> > 139, y en pflog del gw vpn se despliega el siguiente texto:
> >
> > 12:52:52.473086 ip.de.equiporemoto.1258 >
> > ip.de.1equipo.local.netbios-ssn: S 3033324483:3033324483(0) win 8760
> > <mss 1460,nop,nop,sackOK> (DF) (encap)
> >
> >
> > mas datos:
> >
> > - el software utilizado para los clientes es el safenet (softremote),
> > y se le asigna una ip manualmente al cliente al momento de establecer
> > la vpn (ip's incluidas en $ip_roadwarriors).
> >
> > bye.
> --
> jorge <jorge en netsecure.cl>
> Netsecure
>