我在隧道模式下使用IPSEC.
如何制定一个iptables规则,它只匹配通过IPSEC隧道到达的数据包(即在IPSEC解密它们之后 – 当它们到达时和解密之前不是IPSEC数据包).
关键是要有一个只能通过IPSEC访问并且世界其他地方无法访问的端口.
解决方法
您需要使用策略模块,并指定ipsec策略以匹配此流量.例如,以下规则允许所有入站流量到tcp端口12345.不要忘记规则顺序在iptables中很重要,并且您可能还需要允许返回半数据包,具体取决于您当前的OUTPUT限制.
iptables -A INPUT -m policy --pol ipsec --dir in -p tcp --dport 12345 -j ACCEPT
