
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">

<HTML>

<HEAD>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">

<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7654.12">

<TITLE>re: Status of KLIPS</TITLE>

</HEAD>

<BODY>

<!-- Converted from text/plain format -->


<P><FONT SIZE=2>&gt; What's the status of KLIPS today? Is it still an activly developed project<BR>

&gt; that you can rely on, or is it a dead, abandoned project?<BR>

&gt;<BR>

&gt; Is there any Linux distribution, preferable firewall/router oriented that<BR>

&gt; ships with a KLIPS enabled kernel?<BR>

&gt;<BR>

&gt; I really, really miss the ipsecX interfaces from KLIPS on recent linux<BR>

&gt; kernels with NETKEY, like beeing able to write simple iptables rules based<BR>

&gt; in traffic comming in or going out on the ipsec interface, and beeing able<BR>

&gt; to run tcpdump on the ipsec0 interface for troubleshooting.<BR>

&gt;<BR>

&gt; &gt;From a user and firewall admin perspective it was a so much better design<BR>

&gt; to have virtual interfaces to work with.<BR>

&gt;<BR>

&gt; Is using the policy module of iptables the de facto way of getting similar<BR>

&gt; functionallity with NETKEY as you had with the ipsecX interfaces with<BR>

&gt; KLIPS, or is there any other method to filter traffic based on whether it<BR>

&gt; is comming from/going to an IPsec tunnel?<BR>

&gt;<BR>

&gt; Br // Mathias<BR>

<BR>

I use centos linux 5.2 with NETKEY.&nbsp; I too used klips in the past.&nbsp; I periodically do test compiles to see how the fast moving 2.6 series works with klips.<BR>

I have found the best combo for klips to be centos-4.x with a compiled<BR>

kernel from Adrian Bunk's 2.6.16.x stable series.&nbsp; When I do this I use<BR>

2.4.13.&nbsp; I need to test this with 2.6.20 as I have read that 2.4.13 is<BR>

now retired from active development.<BR>

<BR>

<BR>

The way I do the rules for filtering in iptables for NETKEY with eth0 being my outside interface is as follows:<BR>

<BR>

iptables -t mangle -A PREROUTING -i eth0 -p 50 -j MARK --set-mark 0x9<BR>

iptables -t mangle -A PREROUTING -i eth0 -p 50 -j RETURN<BR>

iptables -t mangle -A PREROUTING -i eth0 -p udp --sport 500 --dport 500<BR>

-j MARK --set-mark 0x9<BR>

iptables -t mangle -A PREROUTING -i eth0 -p udp --sport 500 --dport 500<BR>

-j RETURN<BR>

iptables -A FORWARD -m mark --mark 0x9 -j ACCEPT<BR>

iptables -A INPUT -m mark --mark 0x9 -j ACCEPT<BR>

<BR>

If I am doing roaming clients with nat-t&nbsp; I add:<BR>

<BR>

iptables -t mangle -A PREROUTING -i eth0 -p udp --sport 500 --dport 4500<BR>

-j MARK --set-mark 0x9<BR>

iptables -t mangle -A PREROUTING -i eth0 -p udp --sport 500 --dport 4500<BR>

-j RETURN<BR>

<BR>

<BR>

My current understanding is the mark survives decryption, so the<BR>

decrypted packet still carry the 0x9 mark and are allowed.&nbsp; If this is<BR>

wrong I am sure Paul or someone will chime in.<BR>

<BR>

Chris Patch<BR>

</FONT>

</P>


</BODY>

</HTML>