Używam IPSEC w trybie tunelowym.
Jak stworzyć regułę iptables, która będzie pasowała tylko do pakietów, które dotarły przez tunel IPSEC (tj. Po ich odszyfrowaniu przez IPSEC - nie pakietów IPSEC, kiedy dotrą i przed odszyfrowaniem).
Chodzi o to, aby mieć określony port, który będzie dostępny tylko przez IPSEC i niedostępny dla reszty świata.
Musisz użyć modułu zasad i określić ipseczasady, aby dopasować ten ruch. Poniższa reguła zezwala na cały ruch przychodzący na port tcp 12345. Nie zapominaj, że kolejność reguł jest ważna iptablesi może być konieczne zezwolenie na pakiety zwrotne również w zależności od twoich obecnych OUTPUTograniczeń.
iptables -A INPUT -m policy --pol ipsec --dir in -p tcp --dport 12345 -j ACCEPT