firewall-enabled ipv6/net2net-ip6-in-ip4-ikev2 scenario
authorAndreas Steffen <andreas.steffen@strongswan.org>
Thu, 17 Dec 2009 18:43:33 +0000 (19:43 +0100)
committerAndreas Steffen <andreas.steffen@strongswan.org>
Thu, 17 Dec 2009 18:43:33 +0000 (19:43 +0100)
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/hosts/moon/etc/init.d/iptables
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/hosts/moon/etc/strongswan.conf
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/hosts/sun/etc/init.d/iptables
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/hosts/sun/etc/ipsec.conf
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/hosts/sun/etc/strongswan.conf
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/posttest.dat
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/pretest.dat

index 25074a0..d556762 100755 (executable)
@@ -26,27 +26,16 @@ start() {
        /sbin/ip6tables -P FORWARD DROP
 
        # allow esp
-       ip6tables -A INPUT  -i eth0 -p 50 -j ACCEPT
-       ip6tables -A OUTPUT -o eth0 -p 50 -j ACCEPT
+       iptables -A INPUT  -i eth0 -p 50 -j ACCEPT
+       iptables -A OUTPUT -o eth0 -p 50 -j ACCEPT
 
        # allow IKE
-       ip6tables -A INPUT  -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT
-       ip6tables -A OUTPUT -o eth0 -p udp --dport 500 --sport 500 -j ACCEPT
+       iptables -A INPUT  -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT
+       iptables -A OUTPUT -o eth0 -p udp --dport 500 --sport 500 -j ACCEPT
 
        # allow MobIKE
-       ip6tables -A INPUT  -i eth0 -p udp --sport 4500 --dport 4500 -j ACCEPT
-       ip6tables -A OUTPUT -o eth0 -p udp --dport 4500 --sport 4500 -j ACCEPT
-
-       # allow last UDP fragment
-       ip6tables -A INPUT -i eth0 -p udp -m frag --fraglast -j ACCEPT
-
-       # allow ICMPv6 neighbor-solicitations
-       ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
-       ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
-       
-       # allow ICMPv6 neighbor-advertisements
-       ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
-       ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+       iptables -A INPUT  -i eth0 -p udp --sport 4500 --dport 4500 -j ACCEPT
+       iptables -A OUTPUT -o eth0 -p udp --dport 4500 --sport 4500 -j ACCEPT
 
        # allow crl fetch from winnetou
        iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
@@ -56,6 +45,14 @@ start() {
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+        # allow ICMPv6 neighbor-solicitations
+        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
+        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
+
+        # allow ICMPv6 neighbor-advertisements
+        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+
        # log dropped packets
        ip6tables -A INPUT  -j LOG --log-prefix " IN: "
        ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
index 4683225..a452c7a 100755 (executable)
@@ -18,6 +18,7 @@ conn net-net
        leftsubnet=fec1::0/16
        leftcert=moonCert.pem
        leftid=@moon.strongswan.org
+       leftfirewall=yes
        right=PH_IP_SUN
        rightsubnet=fec2::0/16
        rightid=@sun.strongswan.org
index 7de58a1..c77902c 100644 (file)
@@ -1,6 +1,6 @@
 # /etc/strongswan.conf - strongSwan configuration file
 
 charon {
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 hmac xcbc stroke kernel-netlink
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 hmac xcbc stroke kernel-netlink updown
   install_routes = no
 }
index 25074a0..21ff88d 100755 (executable)
@@ -26,27 +26,16 @@ start() {
        /sbin/ip6tables -P FORWARD DROP
 
        # allow esp
-       ip6tables -A INPUT  -i eth0 -p 50 -j ACCEPT
-       ip6tables -A OUTPUT -o eth0 -p 50 -j ACCEPT
+       iptables -A INPUT  -i eth0 -p 50 -j ACCEPT
+       iptables -A OUTPUT -o eth0 -p 50 -j ACCEPT
 
        # allow IKE
-       ip6tables -A INPUT  -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT
-       ip6tables -A OUTPUT -o eth0 -p udp --dport 500 --sport 500 -j ACCEPT
+       iptables -A INPUT  -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT
+       iptables -A OUTPUT -o eth0 -p udp --dport 500 --sport 500 -j ACCEPT
 
        # allow MobIKE
-       ip6tables -A INPUT  -i eth0 -p udp --sport 4500 --dport 4500 -j ACCEPT
-       ip6tables -A OUTPUT -o eth0 -p udp --dport 4500 --sport 4500 -j ACCEPT
-
-       # allow last UDP fragment
-       ip6tables -A INPUT -i eth0 -p udp -m frag --fraglast -j ACCEPT
-
-       # allow ICMPv6 neighbor-solicitations
-       ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
-       ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
-       
-       # allow ICMPv6 neighbor-advertisements
-       ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
-       ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+       iptables -A INPUT  -i eth0 -p udp --sport 4500 --dport 4500 -j ACCEPT
+       iptables -A OUTPUT -o eth0 -p udp --dport 4500 --sport 4500 -j ACCEPT
 
        # allow crl fetch from winnetou
        iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
@@ -56,6 +45,18 @@ start() {
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+        # allow ICMPv6 neighbor-solicitations
+        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
+        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
+
+        # allow ICMPv6 neighbor-advertisements
+        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+
+        # allow crl fetch from winnetou
+        iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
+        iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
+
        # log dropped packets
        ip6tables -A INPUT  -j LOG --log-prefix " IN: "
        ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
index 03b7bc6..448cccb 100755 (executable)
@@ -18,6 +18,7 @@ conn net-net
        leftsubnet=fec2::0/16
        leftcert=sunCert.pem
        leftid=@sun.strongswan.org
+       leftfirewall=yes
        right=PH_IP_MOON
        rightsubnet=fec1::0/16
        rightid=@moon.strongswan.org
index 8795090..6e9280e 100644 (file)
@@ -1,6 +1,6 @@
 # /etc/strongswan.conf - strongSwan configuration file
 
 charon {
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 hmac xcbc stroke kernel-netlink
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 hmac xcbc stroke kernel-netlink updown
   install_routes=no
 }
index 7a8af32..c78d884 100644 (file)
@@ -4,3 +4,5 @@ alice::"ip route del fec2:\:/16 via fec1:\:1"
 moon::"ip route del fec2:\:/16 via fec0:\:2" 
 sun::"ip route del fec1:\:/16 via fec0:\:1" 
 bob::"ip route del fec1:\:/16 via fec2:\:1"
+moon::/etc/init.d/iptables stop 2> /dev/null
+sun::/etc/init.d/iptables stop 2> /dev/null
index ae30069..7781f9b 100644 (file)
@@ -1,5 +1,5 @@
-moon::echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
-sun::echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
+moon::/etc/init.d/iptables start 2> /dev/null
+sun::/etc/init.d/iptables start 2> /dev/null
 alice::"ip route add fec2:\:/16 via fec1:\:1"
 moon::"ip route add fec2:\:/16 via fec0:\:2" 
 sun::"ip route add fec1:\:/16 via fec0:\:1" 
@@ -8,3 +8,4 @@ moon::ipsec start
 sun::ipsec start
 moon::sleep 2 
 moon::ipsec up net-net
+moon::sleep 1