Estou usando o IPSEC em um modo de túnel.
Como criar uma regra do iptables que corresponda apenas aos pacotes que chegaram pelo túnel IPSEC (ou seja, depois que o IPSEC os descriptografou - não os pacotes IPSEC quando eles chegam e antes da descriptografia).
O objetivo é ter uma certa porta que será acessível apenas via IPSEC e inacessível ao resto do mundo.
Respostas:
Você precisa usar o módulo de política e especificar a ipsecpolítica para corresponder a esse tráfego. A regra a seguir, por exemplo, permite que todo o tráfego de entrada atinja a porta 12345 tcp. Não se esqueça que a ordem das regras é importante iptablese que talvez você precise permitir os pacotes de meio retorno também, dependendo das OUTPUTrestrições atuais .
iptables -A INPUT -m policy --pol ipsec --dir in -p tcp --dport 12345 -j ACCEPT