Estoy usando IPSEC en modo túnel.
Cómo hacer una regla de iptables que coincida solo con los paquetes que llegaron a través del túnel IPSEC (es decir, después de que IPSEC los descifró, no los paquetes IPSEC cuando llegaron y antes del descifrado).
El punto es tener un cierto puerto que será accesible solo a través de IPSEC e inaccesible para el resto del mundo.
Respuestas:
Debe usar el módulo de políticas y especificar la ipsecpolítica para que coincida con este tráfico. La siguiente regla, por ejemplo, permite todo el tráfico entrante al puerto tcp 12345. No olvide que el orden de las reglas es importante iptablesy que es posible que también deba permitir los paquetes de la mitad de retorno, según sus OUTPUTrestricciones actuales .
iptables -A INPUT -m policy --pol ipsec --dir in -p tcp --dport 12345 -j ACCEPT