linux ipsec pluto不生效定位

已于 2022-09-15 14:27:38 修改
阅读量552 收藏 2
点赞数
文章标签: 网络 运维
于 2022-09-09 10:24:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aashuii/article/details/126777602
版权

使用的是pluto,systemctl部署后可以看到ipsec服务(linux使用的是ip xfrm):
pluto服务
可以检查下配置是否正确
pluto配置

ipsec配置文件
以上都正确的话,除了通过日志(journalctl -xefu ipsec或者
ipsec whack --status)确认下ipsec是否正常,还可以通过以下命令确认整个流程:
策略路由是否生效:
ip rule list
策略路由
ip route list table中是否包含配置的私网网段

事实证明策略路由存在与否没有什么影响,
可能是因为ipsec是POSTROUTING规则,路由并不改变源和目的IP

查看ipsec中策略:
ipsec策略
查看ipsec状态:
ipsec状态
ipsec状态看起来没问题,抓包发现源IP变成了node的IP,k8s会设置SNAT,
怀疑是k8s的SNAT修改了源IP后,匹配不上ipsec policy,SNAT查看:

iptables -t nat -nL

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
KUBE-POSTROUTING  all  --  0.0.0.0/0            0.0.0.0/0            /* kubernetes postrouting rules */
RETURN     all  --  172.22.0.0/16        172.22.0.0/16        /* flanneld masq */
MASQUERADE  all  --  172.22.0.0/16       !224.0.0.0/4          /* flanneld masq */
RETURN     all  -- !172.22.0.0/16        172.22.0.0/24        /* flanneld masq */
MASQUERADE  all  -- !172.22.0.0/16        172.22.0.0/16        /* flanneld masq */

Chain KUBE-POSTROUTING (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            mark match ! 0x4000/0x4000
MARK       all  --  0.0.0.0/0            0.0.0.0/0            MARK xor 0x4000
MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0            /* kubernetes service traffic requiring SNAT */

可以看到第一条规则是一个SNAT(MASQUERADE是SNAT的一种方式:从服务器的网卡上,自动获取当前ip地址来做NAT)

于是添加一条规则优先于SNAT:
在这里插入图片描述
这样流量可以经过iptables而不做SNAT,因为iptables的规则是:
iptables匹配规则
至于为什么先处理snat再处理xfrm,是linux源码写死的。。。

aashuii
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPSecpluto框架和函数接口
03-29
该文档主要用来介绍IPsec是模块中pluto的框架、基本原理简介、函数调用关系、主要函数接口说明。例如包含:主模式和野蛮模式报文交互流程和函数接口、IKE协商、内核函数接口等
Linux IKE daemon “pluto
jjw97_5的专栏
02-11 1938
原文大家可以参考http://www.tldp.org/HOWTO/Linux+IPv6-HOWTO/x2428.html。我这里只翻译了关于pluto这部分。文章可能稍微有些过时,不过还是有很大的参考价值的。例如在较老的Linux内核版本一般安装的是openswan,由于版权还是别的什么问题,现在改为了libreswan。         IKE daemon "pluto包含在*S/WA
IPSEC_PLUTO(8) - IKE管理接口
Rain
07-24 3584
IPSEC_PLUTO NAME ipsec_pluto - ipsec whack: IKE管理接口 SYNOPSIS ipsec pluto [--help] [--version] [--optionsfrom filename] [--nofork] [--stderrlog] [--use-auto] [--
openswan的Pluto源码分析以及linuxIPsec内核源码分析
11-08
对openswan的Pluto源码和linuxIPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linuxIPsec实现很有帮助
linux基础
cityzy的博客
08-07 227
Linux简介 什么是Linux?其实,像Windows,MacOS一样,Linux也是一个操作系统。 Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统...
QPSK_matlab图像pluto通信原理_
10-04
利用MATLAB平台实现图片点对点收发,采用QPSK调制解调
pluto2.rar_pluto2
09-21
标题中的"pluto2.rar_pluto2"表明这是一个与"Pluto2"相关的压缩文件,可能包含源代码或相关配置文件。"pluto2.c"是压缩包内具体的一个源代码文件,通常用于C语言编程。结合描述,我们可以推断这涉及到Satelco公司的...
基于pluto的simulink文件,采用qpsk
06-05
在本文中,我们将深入探讨基于Pluto的Simulink模型,特别是与QPSK(四相相移键控)调制技术相关的知识点。QPSK是一种数字调制方法,它通过改变载波信号的相位来传输二进制数据,每次调变可以携带2比特的信息。这种...
如何使用 Pluto 快速检测已弃用的 Kubernetes API
最新发布
easylife206的专栏
11-17 227
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !前言Kubernetes版本不断迭代中,Kubernetes API 也一直在变化。随着这些更改的出现,API 的某些部分被弃用并最终被删除。为了能够保持最新的 Kubernetes 集群版本,我们必须识别不推荐使用的 API 并更新它们。在实际环境中,我们已经将资源部署到Kubernetes集群中,并希望API版本...
PLUTO SDR ,使用GNU Radio 和 SDR# ,搭建简单FM接收
Master_0_的博客
06-17 5176
PLUTO SDR ,使用GNU Radio 和 SDR# ,搭建简单FM接收
Pluto实现总结
rtmdk的博客
08-30 7818
Pluto实现总结 1. ike默认使用的udp端口为500,如果激活了NAT-Traversal功能,就需要pluto监听udp4500端口 2. pluto支持在不同的操作系统使用不同的ip协议栈,默认使用--use-netkey,或者使用--use-klips, --use-mast,--use-bsdkame, --use-win2k or --use-nostack 3. plut
Linux网络协议栈9--ipsec收发包流程
bigsheng2的博客
02-04 2507
IPSec协议帮助IP层建立安全可信的数据包传输通道。当前已经如strongswan、openswan等比较成熟稳定的开源项目做协议层的控制。但他们最终都是使用的内核的XFRM框架做报文的封装发送和接收解封,只不过内核的转发表项数据是由他们生成的。 XFRM,是transfrom的简写。 ######IPSec收包解封流程 流程路径:ip_rcv() --> ip_rcv_finish() --> ip_local_deliver() --> ip_local_deliver_fini
策略路由(PBR)配置命令详解
weixin_49782381的博客
01-13 5012
PBR作用对象:数据。(不看路由表) 基于本地: 只对本设备发送的流量生效,经过本设备的流量不生效。 配置命令: acl 3000 (默认通过所有) rule 10permit ip source 100.1.1.1 0 destination 200.1.1.1 0 //规则10,源地址100..1.1.1 ,目的地址200.1.1.1 ,(0表示精确匹配) policy-based-route ...
华为网络配置(策略路由)
热门推荐
1风天云月的博客
12-12 1万+
目录 前言 一、策略路由概述 1、策略路由介绍 2、策略路由优点 3、本地策略路由 4、本地策略路由实现原理 5、接口策略路由 6、接口策略路由实现原理 7、智能策略路由 8、智能策略路由产生背景 9、特性依赖和限制 二、策略路由配置 1、案例 2、配置过程 (1)AR1 (2)AR2 (3)AR3 (4)AR4 3、测试 (1)接口策略路由 (2)本地策略路由 结语 前言 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可...
linux系统常用命令
weixin_45415743的博客
08-16 261
9.2收集进程信息 显示当前终端(TTY)中的进程 $ ps PID TTY TIME CMD 33077 pts/2 00:00:00 bash 33099 pts/2 00:00:00 ps # ps -f UID PID PPID C STIME TTY TIME CMD root 33077 33060 0 13:22 pts/2 00:00:00 -bash root 33100 .
IPsec相关的一些基本概念
每天写一点,进步一点点
05-04 4161
问题提出:什么是xfrm,racoon,netkey,PF_KEY,netlink,clips,26sec,Setkey,KAME,ipsec? IPsec:Internet Protocol Security是一种开放标准的框架结构,通过使用加密的安全服务以确保在网络上进程保密而安全的通讯。IPsec IP层协议安全主要包括一个IP包进程模块和一个密钥交换模块,IPsec包的处理模块是基本
Mac和Linux 查找8080端口
pluto的博客专栏
05-15 2318
mac :   lsof -i:8080 linux : neststat -anltp | grep 8080
ipsec pluto
09-12
IPsec Pluto是一个用于实现IP安全(IPsec)协议的开源软件包。IPsec是一种用于保护IP通信的协议,它提供了数据的完整性、机密性和身份认证。IPsec Pluto是实现IPsec协议的关键组件之一。 IPsec Pluto网络中的作用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值