
<p dir="ltr">Sure, sorry about that.<br>

Thanks alot !</p>

<div class="gmail_quote">On Jan 18, 2014 1:26 AM, "Simon Deziel" <<a href="mailto:simon@xelerance.com">simon@xelerance.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

On 14-01-17 06:19 PM, Idan Freiberg wrote:<br>

> can i drop non-ipsec connections without using iptables?<br>

><br>

> (like racoon do)<br>

<br>

What happens if racoon dies and the IPsec connection goes out?<br>

<br>

It would start leaking traffic in plain text. That's when iptables'<br>

extra protection can be handy.<br>

<br>

Simon<br>

<br>

P.S.: Please reply to the mailing list directly as others might be<br>

interested by your thread.<br>

<br>

> On Jan 17, 2014 4:42 AM, "Simon Deziel" <<a href="mailto:simon@xelerance.com">simon@xelerance.com</a><br>

> <mailto:<a href="mailto:simon@xelerance.com">simon@xelerance.com</a>>> wrote:<br>

><br>

>     If your IPsec connection alive, the iptables rules are not needed as the<br>

>     kernel will make sure to encrypt any packets between both peers. This is<br>

>     not something racoon or Openswan does, it's the kernel directly.<br>

><br>

>     The iptables rules are there to prevent any communication if your IPsec<br>

>     connections accidentally dies or something like that.<br>

><br>

>     Simon<br>

><br>

>     On 14-01-16 02:15 AM, Idan Freiberg wrote:<br>

>     > Thanks alot!<br>

>     ><br>

>     > As far as I remember *racoon *daemon isn't relying on iptables for<br>

>     > dropping unsecured connections.<br>

>     > As far as i understnad, openswan isn't dealing with that, can you<br>

>     accept ?<br>

>     ><br>

>     ><br>

>     > On Thu, Jan 16, 2014 at 4:02 AM, Simon Deziel <<a href="mailto:simon@xelerance.com">simon@xelerance.com</a><br>

>     <mailto:<a href="mailto:simon@xelerance.com">simon@xelerance.com</a>><br>

>     > <mailto:<a href="mailto:simon@xelerance.com">simon@xelerance.com</a> <mailto:<a href="mailto:simon@xelerance.com">simon@xelerance.com</a>>>> wrote:<br>

>     ><br>

>     >     Hi Idan,<br>

>     ><br>

>     >     You can set your connection to use "auto=route" or<br>

>     "auto=start". This<br>

>     >     will keep the IPsec connection ready to secure the<br>

>     communication between<br>

>     >     the 2 peers.<br>

>     ><br>

>     >     You can supplement this with some iptables rules like those:<br>

>     ><br>

>     >      iptables -A OUTPUT -m policy --dir out --pol ipsec --strict \<br>

>     >               --proto esp --mode transport -d <Other_IP> -j ACCEPT<br>

>     >      iptables -A OUTPUT -d <Other_IP> -j REJECT<br>

>     ><br>

>     >      iptables -A INPUT -m policy --dir in --pol ipsec --strict \<br>

>     >               --proto esp --mode transport -s <Other_IP> -j ACCEPT<br>

>     >      iptables -A INPUT -s <Other_IP> -j REJECT<br>

>     ><br>

>     >     The REJECT rules could also be used with "--pol none". I'd<br>

>     recommend<br>

>     >     reading man 8 iptables for more ideas on how to tweak those rules.<br>

>     ><br>

>     >     HTH,<br>

>     >     Simon<br>

>     ><br>

>     >     On 14-01-15 08:18 PM, Idan Freiberg wrote:<br>

>     >     > hello all!<br>

>     >     ><br>

>     >     > i'm trying to restrict connections to my centos box , so<br>

>     just windows<br>

>     >     > clients with a coresponding PSK will be able to communicate with<br>

>     >     my box.<br>

>     >     ><br>

>     >     > In windows , Ipsec rule can be defined as REQUIRE IPSEC<br>

>     rule, which<br>

>     >     > means non ipsec traffic will dropped automatically (clear<br>

>     traffic)<br>

>     >     ><br>

>     >     > I find it hard to configure a REQUIRE Like rule with Openswan.<br>

>     >     ><br>

>     >     > p.s. i am using ipsec in transport mode, not tunnel mode.<br>

>     >     ><br>

>     >     > Any help will be appreciated.<br>

>     >     > Idan.<br>

>     >     ><br>

>     >     ><br>

>     >     ><br>

>     >     > _______________________________________________<br>

>     >     > <a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a> <mailto:<a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a>><br>

>     <mailto:<a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a> <mailto:<a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a>>><br>

>     >     > <a href="https://lists.openswan.org/mailman/listinfo/users" target="_blank">https://lists.openswan.org/mailman/listinfo/users</a><br>

>     >     > Micropayments:<br>

>     >     <a href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy" target="_blank">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a><br>

>     >     > Building and Integrating Virtual Private Networks with Openswan:<br>

>     >     ><br>

>     ><br>

>     <a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155" target="_blank">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a><br>

>     >     ><br>

>     ><br>

>     >     _______________________________________________<br>

>     >     <a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a> <mailto:<a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a>><br>

>     <mailto:<a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a> <mailto:<a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a>>><br>

>     >     <a href="https://lists.openswan.org/mailman/listinfo/users" target="_blank">https://lists.openswan.org/mailman/listinfo/users</a><br>

>     >     Micropayments:<br>

>     <a href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy" target="_blank">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a><br>

>     >     Building and Integrating Virtual Private Networks with Openswan:<br>

>     ><br>

>     <a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155" target="_blank">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a><br>

>     ><br>

>     ><br>

>     ><br>

>     ><br>

>     > --<br>

>     > Idan Freiberg<br>

>     > Mobile: <a href="tel:%2B972-52-2925213" value="+972522925213">+972-52-2925213</a> <tel:%2B972-52-2925213><br>

><br>

>     _______________________________________________<br>

>     <a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a> <mailto:<a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a>><br>

>     <a href="https://lists.openswan.org/mailman/listinfo/users" target="_blank">https://lists.openswan.org/mailman/listinfo/users</a><br>

>     Micropayments: <a href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy" target="_blank">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a><br>

>     Building and Integrating Virtual Private Networks with Openswan:<br>

>     <a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155" target="_blank">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a><br>

><br>

<br>

_______________________________________________<br>

<a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a><br>

<a href="https://lists.openswan.org/mailman/listinfo/users" target="_blank">https://lists.openswan.org/mailman/listinfo/users</a><br>

Micropayments: <a href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy" target="_blank">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a><br>

Building and Integrating Virtual Private Networks with Openswan:<br>

<a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155" target="_blank">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a><br>

</blockquote></div>