IPSec:在 iptable 规则中在 ESP 上使用 conntrack 状态是否有意义?

网络工程 网络安全
2021-07-22 22:07:57

有一个如下的 iptable 规则有意义吗?

-A INPUT -p esp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

我找不到任何可以解释 ESP 流中“状态”含义的文档。此链接 ( http://www.iptables.info/en/connection-state.html )中解释了 TCP/UDP/ICMP

既然ESP没有端口或连接的概念,那么上面的规则有意义吗?conntrack 将如何确定此处的流状态?如果它确实意味着什么,有人可以解释并指出文档吗?

1个回答

与 UDP 非常相似,基本上:它检查之前是否已看到流。

顺便说一下,我认为你不需要在那里有 RELATED(这对于像 FTP 这样的东西来说更多,在那里你有多个流参与连接)。

一般来说,ESP 会处于隧道模式,其中唯一的状态几乎是“存在”或“不存在”。NEW 只是意味着(我认为)您允许远程主机启动连接。

因此,如果远程主机确实需要连接,您将需要该规则,并且可以通过将 ESP 流限制为仅已知主机(即使用 a-s MYNETWORK或 ipset 来限制谁可以与谁交谈 ESP)来证明其存在的合理性。.

不过,您可能不需要有状态。

其它你可能感兴趣的问题
上一篇Ubiquiti EdgeRouter Pro ERPro‑8 作为 BGP 1 Gbps 端点 下一篇NAT测试环境