Re: vtun+iptables

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2003 ml@sikurezza.org
Soggetto: Re: vtun+iptables
Mittente: Paolo Radice
Data: 6 Nov 2003 13:02:10 -0000

Ringraziandovi per gli aiuti / opinioni, rispondo a Marcello, ma tenendo conto delle osservazioni di tutti.

Marcello Barnaba wrote:

2) si può usare "sopra" ssh

Se questo e` un requisito essenziale per la tua organizzazione, beh, non
ti si puo` aiutare con OpenVPN.

Sulla questione SSH, ringrazio per la competenza soprattutto Fabio Pietrosanti che dice:

Il che non e' molto utile, andando vtun a gestire la connessione cifrata fai
semplicemente il doppio del calcolo necessario(cifratura di ssh + cifratura di
vtun).

In realtà non ho mai visto una VPN realizzata con vtund avere problemi di stabilità e velocità. Dopo un test con openVPN potrò postare la mia opinione. Avere la doppia cifratura mi permette semplicemente di innalzare il livello di sicurezza.

4) tun è "di serie" nel kernel 2.4
Neppure questa, OpenVPN usa tun e tap esattamente come vtun :>.

Io elencavo i "motivi per cui uso vtun". Non quelli per cui uso vtun e NON OpenVPN. Da qui il riferimento al kernel: FreeSWAN mi sembra ottimo software, ma bisogna ricompilare... Quando, come nel mio caso, si è da soli a fare il lavoro di molti, alcune questioni sono sacrificate sull'altare della velocità: a volte non ho materialmente il tempo di fare le cose come vorrei. Evidentemente, rispetto al kernel, openVPN e vtund fanno entrambi al caso mio.

Ti consiglierei, per evitare problemi di questo tipo, e sempre se ti e`
possibile, di tirare giu` il firewall durante i test, e poi andar
pesantemente di log del firewall e di tcpdump.

Purtroppo, per i problemi nella gestione del lavoro di cui sopra, stavo configurando la VPN con le macchine già in produzione, che mascheravano due reti locali. Tirare giù i firewall voleva dire impedire la navigazione. Comunque ho risolto. Mi è stato molto utile Giorgio Cardarelli:

Mi spiego meglio: visto che sulla macchina avrai anche delle ethernet, se hai fatto le cose molto bene puoi aver abilitato il passaggio del traffico su un determinato protocollo solo per quelle interfacce, e aver messo una regola di DROP dopo le regole specifiche per le eth in questione.

Grazie ancora :-)

--
Paolo Radice

chaosGen ::: 1048 ::: Gli animali e gli uomini politici non sanno di essere mortali. (Eugene Ionesco)


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: vtun+iptables, Marcello Barnaba

Data:
- precedente: Re: redhat 7.2, Alessio C.
- successivo: R: Server LDAP, Fausto Pasqualetti
- indice

Argomento:
- precedente: Re: vtun+iptables, Marcello Barnaba
- successivo: Re: vtun+iptables, Fabio Pietrosanti (naif)
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005