ipsec - controlar trafico en enc0
Victor Pasten V.
victor en aciertonet.com
Vie Mayo 30 19:16:52 CLT 2003
Mensaje citado por jorge <jorge en netsecure.cl>:
> facil...po...
>
>
Gracias por ser tan explicito, jeje.
>
> El vie, 30 de 05 de 2003 a las 12:32, Víctor Pasten V. escribió:
> > Esto es lo que despliega:
> > ### con un ping desde el roadwarrior (ip 192.168.2.5) a un equipo red
> local
> > (ip 192.168.1.3):
> > May 30 08:23:52.371238 rule 1/0(match): block in on enc0: 192.168.2.5 >
> > 192.168.1.3: icmp: echo request (encap)
> > May 30 08:23:53.519115 rule 1/0(match): block in on enc0: 192.168.2.5 >
> > 192.168.1.3: icmp: echo request (encap)
> >
> > ### con un telnet al port 139 (para probar acceso netbios) desde el
> > roadwarrior (ip 192.168.2.5) a un equipo red local (ip 192.168.1.3):
> > May 30 08:24:01.261766 rule 1/0(match): block in on enc0: 192.168.2.5.1323
> >
> > 192.168.1.3.139: S 17785729:17785729(0) win 8760 <mss 1460,nop,nop,sackOK>
> > (DF) (encap)
> > May 30 08:24:04.243920 rule 1/0(match): block in on enc0: 192.168.2.5.1323
> >
> > 192.168.1.3.139: S 17785729:17785729(0) win 8760 <mss 1460,nop,nop,sackOK>
> > (DF) (encap)
> >
> > que tal???
> > ----- Original Message -----
> > From: "jorge" <jorge en netsecure.cl>
> > To: <bsd en inf.utfsm.cl>
> > Sent: Thursday, May 29, 2003 6:58 PM
> > Subject: Re: ipsec - controlar trafico en enc0
> >
> >
> > > y que te entrega:
> > >
> > > tcpdump -n -e -ttt -i pflog0 ???
> > >
> > > que te sale bloqueado.
> > >
> > >
> > >
> > > Jorge...
> > >
> > >
> > > El jue, 29 de 05 de 2003 a las 18:56, Víctor Pasten V. escribió:
> > > > Que tal listeros de chile, tengo una consultilla referente a controlar
> > > > el trafico en la interfaz enc0 de una maquinita open 3.2 que hace de
> > > > gw de vpn, he buscado harta info en internet pero no me funcionan las
> > > > recetas mencionadas (incluso las de openbsd.org), y solo hay
> > > > comunicacion cuando la regla de pf dice asi:
> > > >
> > > > pass in quick on enc0 all
> > > > pass out quick on enc0 all
> > > >
> > > > Pero yo he querido ajustar ese acceso dejandolo así:
> > > >
> > > > pass in quick on enc0 from $ip_roadwarriors to $ips_locales
> > > > pass out on enc0 from $ips_locales to $ip_roadwarriors
> > > >
> > > > Y no pasa nada, Ta bien o no???
> > > >
> > > > probe haciendo un telnet a una maquina que usa $ips_locales al port
> > > > 139, y en pflog del gw vpn se despliega el siguiente texto:
> > > >
> > > > 12:52:52.473086 ip.de.equiporemoto.1258 >
> > > > ip.de.1equipo.local.netbios-ssn: S 3033324483:3033324483(0) win 8760
> > > > <mss 1460,nop,nop,sackOK> (DF) (encap)
> > > >
> > > >
> > > > mas datos:
> > > >
> > > > - el software utilizado para los clientes es el safenet (softremote),
> > > > y se le asigna una ip manualmente al cliente al momento de establecer
> > > > la vpn (ip's incluidas en $ip_roadwarriors).
> > > >
> > > > bye.
> > > --
> > > jorge <jorge en netsecure.cl>
> > > Netsecure
> > >
> --
> jorge <jorge en netsecure.cl>
> Netsecure
>
>
Victor Pasten V.
Administrador de Red
Aciertonet - Activa
Fono : 56 02 3811947
-------------------------------------------------
This mail sent through IMP: http://horde.org/imp/