[linux-l] Perl, Tomcat, IPSec, NFS, Linux, FreeBSD (war:Woody-nachbesserungs-Tool

Peter Ross peter.ross at alumni.tu-berlin.de
Mi Jan 1 02:34:41 CET 2003


Hi Steffen,

On Mon, 30 Dec 2002, Steffen Dettmer wrote:

> > Ja, haette ich gern. Warum soll ich zwei vollstaendig
> > verschiedene Verbindungen ueber das gleiche Interface jagen?
> 
> Du jagst ja auch Millionen von TCP Verbindungen über ein device.
> Verstehe Deine Anforderung überhaupt nicht.
> 
> > Das ifconfig fuer ipsec0 erzaehlt eigentlich nur Unsinn.
> 
> Es sollte Dir die assozierte "physikalische" IP Addresse angeben,
> über die man das Device zu dem physikalischen Device zu ordnen
> kann. Das ist leider nicht immer glücklich; z.B. kann ich ja
> ippp0 und ippp1 mit gleicher lokaler IP und verschiedener peer-IP
> verwenden. In solchen Setups kann man FreeS/WAN leider nicht
> konfigurieren (zumindestens nicht so einfach).

Ich denke, die PPP-Analogie passt gut. So haette ich das gern, statt 
mehrere Verbindungen uebers gleiche Device zu jagen. Macht uebrigens die 
KAME-Implementierung.

Aber man kann sich sicher an alles gewoehnen;-)

> Warum? SAs werden ja automatisch erneuert (bei auto keying zu
> mindestens), weil sich die kryptoparameter ja ändern (um attacken
> zu erschweren, klar). Sollte da jedesmal ein neues device kommen?
> Du möchtest dann mit ipsec10201 arbeiten? Was soll die Firewall
> denn da machen, ständig neue Regeln erzeugen? Dann kannste ja
> doch wieder nur ipsec* verwenden, und dann haste totales
> Kuddelmuddel.

Eine neuer Schluessel aendert ja weder IP-Adressen noch Routen oder 
anderes auf IP-Ebene fuer die Verbindung. Ist also auch kein 
Interface-Wechsel noetig. Die Verschluesselung ist ja hier der "Traeger", 
Ebene 1 und 2 des OSI-Modells. Aehnlich PPP. Ich kann ja auch mehrfach 
waehlen und auflegen und benutze das selbe Interface.

Nun, ich wuensche ein schoenes neues Jahr
Peter





Mehr Informationen über die Mailingliste linux-l