IPSEC_EROUTE
NAME
ipsec_eroute - 列出存在的eroute
SYNOPSIS
ipsec eroute
cat /proc/net/ipsec_eroute
OBSOLETE
注意eroute只在KLIPS中支持,其它IPsec协议栈不支持
DESCRIPTION
/proc/net/ipsec_eroute 列出了IPsec扩展路由表信息
表的组成元素:
+
数据包数目
+
源IP地址、掩码、源端口
+
'->' 符号,表示源到目的
+
目的IP地址、掩码、目的端口
+
'=>' 符号,表示使用的规范和SAID(Security Association IDentifier)安全联盟ID
+
SAID(Security Association IDentifier) 安全联盟ID
+
协议(proto) "ah" "esp" "comp" "tun"
+
地址族(AF),"." 表示IPv4,":" 表示IPv6
+
SPI (Security Parameters Index) 安全参数索引
+
有效目的地,数据包被处理后转发到的目的地
+
':' 分隔SAID和传输协议
+
源身份
+
目的身份
SAID格式为 "
protoafSPI@edst"。SAID有5个特殊表示:
+
%drop 表示匹配则丢弃
+
%reject 表示匹配则丢弃并返回ICMP
+
%trap
+
%hold 表示保存匹配,直到eroute被更换或被收回
+
%pass 表示匹配则pass而不做IPsec处理
EXAMPLES
1867 172.31.252.0/24:0 -> 0.0.0.0/0:0 => tun0x130@192.168.42.1:0 () ()
746 192.168.2.110/32:0 -> 192.168.2.120/32:25 => esp0x130@192.168.2.120:6 () ()
125 3049:1::/64 -> 0:0/0 => tun:130@3058:4::5 () ()
42 192.168.6.0/24:0 -> 192.168.7.0/24:0 => %passthrough
2112 192.168.8.55/32:0 -> 192.168.9.47/24:0 => %hold (east) ()
2001 192.168.2.110/32:0 -> 192.168.2.120/32:0 => esp0xe6de@192.168.2.120:0 () ()
1984 3049:1::110/128 -> 3049:1::120/128 => ah:f5ed@3049:1::120 () ()
FILES
/proc/net/ipsec_eroute