=====Notizen zu FreeS/WAN=====

====Miscellen====

====Filtern von internen Netzen====
Seit neuerem läuft der ipsec-Traffic von FreeS/WAN nicht mehr über separate Devices, sondern kommt über das normale (externe) Device 'rein.\\
Durch diese Veränderungen werden Filterregeln, die nach dem Schema vorgehen "private Netze an öffentlichen Devices droppen, da Spoofing" ziemlich nutzlos. Meine Recherchen ergaben zwei Lösungen für dieses Problem:
  * [[http://lists.netfilter.org/pipermail/netfilter/2004-May/052589.html|Policies von FreeS/WAN nutzen, um ausgehenden Verkehr über die Tunnel zu zwingen]]. Laut [[http://www.freeswan.org/freeswan_trees/freeswan-2.04/doc/policygroups.html|Doku zu 2.04]] muß inbound traffic trotzdem per iptables erschlagen werden /-) ...
  * [[http://www.uwsg.iu.edu/hypermail/linux/net/0405.0/0021.html|Markieren von ESP-Traffic]], so daß man später dieses mark auswerten und den Traffic entsprechend akzeptieren kann