7.4.2 FreeS/WAN ja iptables

Iptables-palomuurilla säännöt voivat olla esim. seuraavanlaiset (esimerkki left:in palomuuriskriptistä):

# sallitaan IKE-autentikointi internetistä
iptables -A INPUT -i eth1 -p udp --dport 500 -m state \ 
--state NEW -j ACCEPT
#  sallitaan ESP-protokolla VPN:n toisesta päästä
iptables -A INPUT -i eth1 -p 50 -m state --state NEW -j ACCEPT
# sallitaan kaikki sisääntuleva liikenne right:in sisäverkosta
iptables -A INPUT -i eth1 -p all -m state --state NEW \ 
-s 192.168.1.0/24 -j ACCEPT
# sallitaan kaikki edelleenohjattava liikenne right:in 
# sisäverkosta
iptables -A FORWARD -i eth1 -p all -m state --state NEW \
-s 192.168.1.0/24 -j ACCEPT

Freeswanin manuaaleissa oli myös huomautus, että jos käytetään NAT:ia, olisi NAT-sääntöön tehtävä seuraava muutos:

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.0/24
\! -d 192.168.1.0/24 -j MASQUERADE

Omissa testeissäni VPN-yhteys ei vaatinut kumpaankaan päähän tuota sääntöä toimiakseen.