Я використовую IPSEC в тунельному режимі.
Як зробити правило iptables, яке відповідатиме лише пакетам, які надійшли через тунель IPSEC (тобто після того, як IPSEC розшифрував їх, а не пакети IPSEC, коли вони прибули та до розшифровки).
Сенс у тому, щоб мати певний порт, який буде доступний лише через IPSEC і недоступний для решти світу.
Відповіді:
Вам потрібно скористатися модулем політики та вказати ipsecполітику, щоб відповідати цьому трафіку. Наступне правило, наприклад, дозволяє весь вхідний трафік до порту tcp 12345. Не забувайте, що порядок правил важливий у iptables, і що вам може знадобитися дозволити також пакети повернення на половину, залежно від ваших поточних OUTPUTобмежень.
iptables -A INPUT -m policy --pol ipsec --dir in -p tcp --dport 12345 -j ACCEPT