Am Sonntag, 31. Oktober 2004 19:18 schrieb Bj�rn Schmidt: > Matthias Houdek wrote: > > Die IPSec-Frames kommen auf dem Rechner mit der Firewall an und > > werden erst nach dem Entpacken zu den verhunzten SSH-Segmenten, die > > dann verworfen werden? > > ���h nein. Die Pakete m�chten den Firewall-Rechner -von wo aus die > Verbindung aufgebaut werden soll- gerne verlassen (sie schaffen es ja > nicht in der _OUTPUT_ Chain Akzeptiert zu werden). Wenn ich das richtig > interpretiere sind die Pakete schon kaputt _bevor_ sie verschl�sselt > werden.
Gut, dann hab ich das doch richtig im Sinn gehabt. Die Firewall l�uft auf dem Rechner, von dem du auch die Verbindung aufbaust. Geht denn ssh via IPSec ohne Firewall? > > (Stimmt ja, der 2.6er Kernel macht IPSec ja irgendwie > > ohne separates IPSec-Interface - oder? > > Genau so ist es. IPsec ist f�r den normalen User transparent, er merkt > nicht das er es benutzt. Na gut, bei �lteren Rechnern kann schon die > maximale �bertragungsrate "etwas" absinken, aber das w�re auch alles. Naja, das d�rfte man wohl bei den meisten Rechnern kaum sp�ren. Da muss das Teil ja schon sehr alt (> 3-4 Jahre) sein. [...] > >>die IPsec-Verbindung steht aber. Ping z.B. funktioniert > > > > Ping ist aber auch kein TCP. Geht ein Telnet? > > Kann ich gerade nicht ausprobieren weil es das Ergebnis eines anderen > Experimentes verf�lschen w�rde. > > > Hm, die Mitschnitte zeigen einem herzlich wenig �ber den Inhalt der > > ESP-Segmente. Wenn du mal nur AH machst und dann mit 'nem Sniffer > > reinschaust. > > Das teste ich sobald der Rechner wieder frei ist. Vermutlich wird es > nichts bringen da die Pakete "scheinbar" schon _vor_ der > verschl�sselung nicht ganz der Spezifikation entsprechen. _Das_ w�re doch schon mal interessant zu wissen. Ich werde mich morgen auch mal ein wenig hinter IPSec mit dem 2.6er klemmen. Hoffe, ich finde ein wenig Zeit daf�r. -- Gru� MaxX Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter nach /dev/null).
