On Sat, Jan 03, 2009 at 07:48:28AM -0800, JaR wrote: > si por IPTABLES > > > --- El vie 2-ene-09, Diego Woitasen <[email protected]> escribió: > > > De: Diego Woitasen <[email protected]> > > Asunto: Re: kernel 2.6, openswan y soporte para klips > > Para: [email protected] > > Fecha: viernes, 2 de enero de 2009, 3:26 pm > > On Thu, Jan 01, 2009 at 05:26:19PM -0800, JaR wrote: > > > Buenas! hace algunos dias estoy probando cosillas con > > una VPN que tengo que armar contra un cisco PIX el tema es > > que me interesaria que openswan2.6 me generase interfaces > > como lo hacia la antigua version que corria sobre 2.4 > > googleando un poco encontre lo siguiente: > > > > > > "(despues de tener instalados los paquetes > > openswan, openswan-modules-sources y linux-patch-openswan): > > > apt-get install module-assistant && m-a a-i > > openswan > > > > > > Ahora, debemos quitar el NETKEY antes de cargar el > > modulo ipsec > > > rmmod af_key esp4 ah4 ipcomp > > > > > > Y finalmente cargamos la pila KLIPS como modulo: > > > modprobe ipsec" > > > > > > el tema es que no puedo pasar del primer comando: > > > > > > apt-get install module-assistant && m-a a-i > > openswan > > > > > > me larga el siguiente error: > > > > > > sed -e "s!\$KVERS!`sed -n -e > > '/UTS_RELEASE/s/^[^"]*"\([^"]*\)".*$/\1/p' > > /usr/src/linux/include/linux/version.h`!g; > > s!\$KSRC!/usr/src/linux!; s!\$KEMAIL!!; > > s!\$KMAINT!!; s!\$KDREV!"Custom.1.00"!; > > s!\$DEBDATE!jue, 01 ene 2009 21:59:36 -0200!" > > debian/control.in > debian/control > > > dh_testdir > > > dh_testroot > > > rm -f build-stamp configure-stamp > > > /usr/bin/make modclean KERNELSRC=/usr/src/linux > > OPENSWANSRCDIR=/usr/src/modules/openswan > > > make[1]: se ingresa al directorio > > `/usr/src/modules/openswan' > > > rm -rf /usr/src/modules/openswan/modobj > > > make[1]: se sale del directorio > > `/usr/src/modules/openswan' > > > dh_clean > > > rm -f debian/control > > > /usr/bin/make -f debian/rules binary-modules > > > make[1]: se ingresa al directorio > > `/usr/src/modules/openswan' > > > sed -e "s!\$KVERS!2.6.24-etchnhalf.1-486!g; > > s!\$KSRC!/lib/modules/2.6.24-etchnhalf.1-486/build!; > > s!\$KEMAIL!!; s!\$KMAINT!!; > > s!\$KDREV!2.6.24-6~etchnhalf.7!; s!\$DEBDATE!jue, 01 > > ene 2009 21:59:37 -0200!" debian/control.in > > > debian/control > > > dh_testdir > > > # Add here commands to configure the package. > > > touch configure-stamp > > > dh_testdir > > > /usr/bin/make module > > KERNELSRC=/lib/modules/2.6.24-etchnhalf.1-486/build > > OPENSWANSRCDIR=/usr/src/modules/openswan > > > make[2]: se ingresa al directorio > > `/usr/src/modules/openswan' > > > Building module for a 2.6 kernel > > > make[3]: se ingresa al directorio > > `/usr/src/modules/openswan' > > > make[4]: se ingresa al directorio > > `/usr/src/modules/openswan' > > > make[4]: > > `/usr/src/modules/openswan/modobj26/Makefile' está > > actualizado. > > > make[4]: se sale del directorio > > `/usr/src/modules/openswan' > > > /usr/bin/make -C > > /lib/modules/2.6.24-etchnhalf.1-486/build > > BUILDDIR=/usr/src/modules/openswan/modobj26 > > SUBDIRS=/usr/src/modules/openswan/modobj26 > > MODULE_DEF_INCLUDE=/usr/src/modules/openswan/packaging/linus/config-all.h > > MODULE_DEFCONFIG=/usr/src/modules/openswan/linux/net/ipsec/defconfig > > MODULE_EXTRA_INCLUDE= ARCH=i386 modules > > > make[4]: se ingresa al directorio > > `/usr/src/linux-headers-2.6.24-etchnhalf.1-486' > > > CC [M] > > /usr/src/modules/openswan/modobj26/ipsec_init.o > > > /usr/src/modules/openswan/modobj26/ipsec_init.c:23:26: > > error: linux/config.h: No existe el fichero o el directorio > > > In file included from > > /usr/src/modules/openswan/modobj26/ipsec_init.c:28: > > > > > /usr/src/modules/openswan/linux/include/openswan/ipsec_param.h:178: > > warning: ‘struct iphdr’ declared inside parameter list > > > > > /usr/src/modules/openswan/linux/include/openswan/ipsec_param.h:178: > > warning: its scope is only this definition or declaration, > > which is probably not what you want > > > In file included from > > /usr/src/modules/openswan/modobj26/ipsec_init.c:88: > > > > > /usr/src/modules/openswan/linux/include/openswan/ipsec_proto.h:76: > > error: conflicting types for ‘ipsec_print_ip’ > > > > > /usr/src/modules/openswan/linux/include/openswan/ipsec_param.h:178: > > error: previous declaration of ‘ipsec_print_ip’ was here > > > make[5]: *** > > [/usr/src/modules/openswan/modobj26/ipsec_init.o] Error 1 > > > make[4]: *** > > [_module_/usr/src/modules/openswan/modobj26] Error 2 > > > make[4]: se sale del directorio > > `/usr/src/linux-headers-2.6.24-etchnhalf.1-486' > > > make[3]: *** [module26] Error 2 > > > make[3]: se sale del directorio > > `/usr/src/modules/openswan' > > > make[2]: *** [module] Error 2 > > > make[2]: se sale del directorio > > `/usr/src/modules/openswan' > > > make[1]: *** [build-stamp] Error 2 > > > make[1]: se sale del directorio > > `/usr/src/modules/openswan' > > > make: *** [kdist_image] Error 2 > > > > > > Podria alguien arrojar algo de luz en mi camino dado > > que no tengo idea en que puedo estar fallando > > > > > > > > > > > > Yahoo! Cocina > > > Recetas prácticas y comida saludable > > > http://ar.mujer.yahoo.com/cocina/ > > > > Para que necesitas la interface, por iptables? > > > > -- > > > > -------------- > > Diego Woitasen > > > Yahoo! Cocina > Recetas prácticas y comida saludable > http://ar.mujer.yahoo.com/cocina/
Supongo que lo queres para permitir las cosas que pasan por el tunel. Si es asi, no hace falta parchear nada, usas el nuevo modulo de match de iptables "policy" y listo. Por ejemplo, si queres permitir el forward para el trafico de IPs conocidas que vengan via ipsec: iptables -A FORWARD -s 10.0.0.0/255.0.0.0 -d 10.0.0.0/255.0.0.0 -m policy --dir out --pol ipsec --mode tunnel -j ACCEPT iptables -A FORWARD -s 10.0.0.0/255.0.0.0 -d 10.0.0.0/255.0.0.0 -m policy --dir in --pol ipsec --mode tunnel -j ACCEPT 10.0.0.0/24 son las redes que estan en cada lado del tunel. y listo... saludos! -- -------------- Diego Woitasen
