2010-03-16

racoon のセキュリティポリシー設定ファイル(ipsec.conf)について

 
flush;
SAD の初期化(setkey -F と同等)


spdflush;
SPD の初期化(setkey -FP と同等)


spdadd src_range dst_range upperspec policy;
SPD の追加
  • src_range
    ローカルの IP アドレス
    書式
    • address
    • address/prefixlen
    • address[port]
    • address/prefixlen[port]
  • dst_range
    リモートの IP アドレス
    書式は src_range と同様
  • upperspec
    /etc/protocols のプロトコル | any
  • policy
    -P direction (discard | none | ipsec) protocol/mode/src-dst/level [...]
    • direction
      in | out | fwd
    • protocol
      ah | esp | ipcomp
    • mode
      transport | tunnel
    • src-dst
      mode : tunnnel の場合のみ指定可能
    • level
      default | use | require | unique




ex. ipsec.conf

  • xxx.xxx.xxx.xxx -> yyy.yyy.yyy.yyy
  • プロトコル : esp
  • 接続方法 : transport
flush;
spdflush;

spdadd xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy any -P out ipsec esp/transport//require;
spdadd yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx any -P in ipsec esp/transport//require;




* 詳細

man setkey

または




* 環境

CentOS release 5.4 (Final) + kernel 2.6.18
ipsec-tools 0.6.5
 

0 件のコメント:

コメントを投稿