[linux-l] Perl, Tomcat, IPSec, NFS, Linux, FreeBSD (war:Woody-nachbesserungs-Tool
Steffen Dettmer
steffen at dett.de
Mi Jan 1 17:28:25 CET 2003
- Vorherige Nachricht (dieses Gesprächs): [linux-l] Perl, Tomcat, IPSec, NFS, Linux, FreeBSD (war:Woody-nachbesserungs-Tool
- Nächste Nachricht (dieses Gesprächs): [linux-l] Perl, Tomcat, IPSec, NFS, Linux, FreeBSD (war:Woody-nachbesserungs-Tool
- Nachrichten sortiert nach:
[ Datum ]
[ Thema ]
[ Betreff (Subject) ]
[ Autor ]
* Peter Ross wrote on Wed, Jan 01, 2003 at 12:34 +1100:
> On Mon, 30 Dec 2002, Steffen Dettmer wrote:
>
> Ich denke, die PPP-Analogie passt gut. So haette ich das gern, statt
> mehrere Verbindungen uebers gleiche Device zu jagen.
bei PPP werden auch viele Verbindungen über ein ppp Device
gejagt. Sogar IPX kann man drüberschmeißen und sonstwas. Bei ppp
hat man ja auch immer sein ppp0 oder was, egal, welche Netze
dahinter liegen etc.
Das geht auch technisch nicht anders, ist ja klar. Die Netze
dahinter sind eben über PPP zu erreichen, und zwar über den peer,
der hinter ppp0 liegt. Analog IPSec: die Netze sind über ein GW
zu erreichen, was hinter dem assozierten physikalischen Device
liegt. In beiden Fällen ist diese Wissen wichtig für's Routing:
dieses Device muß nämlich das Packet senden, damit es ankommt.
> Macht uebrigens die KAME-Implementierung.
Kenn ich nicht. IPSec?
> Aber man kann sich sicher an alles gewoehnen;-)
Ich vermute ein kleines Verständnisproblem...
> > Warum? SAs werden ja automatisch erneuert (bei auto keying zu
> > mindestens), weil sich die kryptoparameter ja ändern
>
> Eine neuer Schluessel aendert ja weder IP-Adressen noch Routen
> oder anderes auf IP-Ebene fuer die Verbindung. Ist also auch
> kein Interface-Wechsel noetig.
An Hand welcher Kriterien soll den nun jemand neue Interfaces
erzeugen!? Die SA ändert sich jedenfalls, also geht das nicht.
Was sonst?
> Die Verschluesselung ist ja hier der "Traeger", Ebene 1 und 2
> des OSI-Modells.
IPSec setzt sozusagen auf OSI 3 auf, IP, verwendet zwei IP
Protokolle dafür (ESP und AH). Von "oben" gesehen ist es
transparent, also irgendwo *in* dem Schicht-3 Klumpen "drin",
klar. Das ipsec0 ist nur ein Trickdevice, eigentlich könnte es im
Userspace komplett unsichtbar sein, nur müßte man dann die
ethernet interface massiv aufbohren, um erkennen zu können, ob
das nun schon mal über eth0 reinkam, und entschlüsselt wurde,
oder was, sonst wäre das mit den Firewalls so kompliziert. Man
müßte dann ja den Packeten noch ein Gedächtnis (state) anbauen:
"ich kam über IPSec", z.B. ein firewall mark tag. Aber das ist
doof, also nimmt man ein device ipsec0 und alles ist klar und
einfach. Das heißt dann, es kam als IPSec über eth0 rein (oder
über welches auch immer). Hat den angenehmen Nebeneffekt, das
Firewall configs einfach werden. Was Du nun mit vielen IPSec
devices möchtest, hab ich immer noch nicht verstanden.
> Aehnlich PPP. Ich kann ja auch mehrfach waehlen und auflegen
> und benutze das selbe Interface.
Eben. Immer das selbe Interface. Ist bei FreeS/WAN genauso. Immer
das selbe interface, unabhängig vom SA und sonstwas, es ist immer
das selbe, ja.
> Nun, ich wuensche ein schoenes neues Jahr
Danke, und selbst auch!!
oki,
Steffen
--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
- Vorherige Nachricht (dieses Gesprächs): [linux-l] Perl, Tomcat, IPSec, NFS, Linux, FreeBSD (war:Woody-nachbesserungs-Tool
- Nächste Nachricht (dieses Gesprächs): [linux-l] Perl, Tomcat, IPSec, NFS, Linux, FreeBSD (war:Woody-nachbesserungs-Tool
- Nachrichten sortiert nach:
[ Datum ]
[ Thema ]
[ Betreff (Subject)]
[ Autor ]
Mehr Informationen über die Mailingliste linux-l