这就是我想要做的
客户端 1 --- 防火墙 --- IPSec 隧道 --- 服务器 --- 互联网
我希望 CLIENT1 通过 IPSec 隧道与互联网通信
IPSec 隧道在防火墙和服务器之间建立,CLIENT1 流量通过该隧道路由。当我从 CLIENT1 ping 到 Internet IP 时,我可以在 IPSec 服务器上执行 tcpdump icmp,但只是这样,什么都没有转发
在服务器上
-A POSTROUTING -s CLIENT1-IP_ADDRESS -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
-A POSTROUTING -o eth0 -j SNAT --to-source IPSEC-SERVER-IP-ADDRESS
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p udp -m udp --dport 4500 -j ACCEPT
-A FORWARD -i eth0 -m policy --dir in --pol ipsec --proto esp -j ACCEPT
-A FORWARD -o eth0 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
/proc/sys/net/ipv4/ip_forward 肯定是 1
答案1
只需告诉 strongswan 不要 install_routes !!
vim /etc/strongswan.conf
charon {
load_modular = yes
install_routes = no
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/*.conf