ฉันใช้ IPSEC ในโหมดทันเนล
วิธีสร้างกฎ iptables ที่จะจับคู่เฉพาะแพ็กเก็ตที่มาถึงอุโมงค์ IPSEC (เช่นหลังจาก IPSec ถอดรหัสแล้ว - ไม่ใช่แพ็กเก็ต IPSEC เมื่อมาถึงและก่อนถอดรหัส)
ประเด็นคือต้องมีพอร์ตบางพอร์ตซึ่งจะสามารถเข้าถึงได้ผ่านทาง IPSEC เท่านั้นและไม่สามารถเข้าถึงได้ทั่วโลก
คำตอบ:
คุณต้องใช้โมดูลนโยบายและระบุipsecนโยบายเพื่อให้ตรงกับการรับส่งข้อมูลนี้ กฎต่อไปนี้เช่นช่วยให้การจราจรขาเข้าทั้งหมดเพื่อ TCP พอร์ต 12345 อย่าลืมว่าคำสั่งกฎมีความสำคัญในiptablesและที่คุณอาจจะต้องอนุญาตให้มีการแพ็คเก็ตกลับมาครึ่งเช่นกันขึ้นอยู่กับปัจจุบันของคุณOUTPUTมีข้อ จำกัด
iptables -A INPUT -m policy --pol ipsec --dir in -p tcp --dport 12345 -j ACCEPT