SuSeFirewall2 + IPSec (racoon/strongwan)

Здравствуйте!

У кого есть опыт подружить IPSec tool с встроенным firewall? Хочу иметь штатный Firewall и IPSec тоннель Sode-to-Side. Самописный firewall ок, есть, работает. Но думаю всё же уйти на на штатный. В штатном всё ОК кроме возможности добавить правила входящего трафика с дружественной сети (либо я не туда смотрю). Если я слепой, то прошу подсказать куда смотреть.
Правило хочу иметь не с фильтрацией по TCP/UDP/RPC, а аналогично этому:
-A INPUT -s 192.168.0.0/24 -d 192.168.1.0/24 -i eth0 -j ACCEPT

Нда… На рускоязычном маломайски занющих людей не оказалось… В целом как и в стране в целом все всё знаю, но никто ничего не умеет.

baho_76, это официальный форум дистрибутива OpenSUSE. А у вас некий общий админский вопрос. Впрочем, вы можете задать его на unixforum.org, либо здесь в основном (англоязычном) разделе.
Документацию-то по SuSEfirewall вообще открывали? :wink:

Ага, и стекло вот так протирал…

Ну я всегда не против пофлудить, хотя коллеги этой моей склонности не одобряют)) Так что говорите, даже гуглили, и ваш вопрос остался уникален? Точно? А еще у вас есть такие инструменты, как багтрекер дистрибутива- вариант пообщаться с разработчиками напрямую. Но все же ждут какого-то дядю, который все сделает за них…

Слушаю дальше, мальчик.

А упорный идиот! Читай мануалы.

Ииии? Продолжаем разворачивать мысль!

Ну, я присоединюсь к комментарию https://forums.opensuse.org/showthread.php/517227-SuSeFirewall2-IPSec-(racoon-strongwan)?p=2775650#post2775650

Ваш вопрос был:

У кого есть опыт подружить IPSec tool с встроенным firewall?

Видимо, ни у кого нет опыта. Это не должно вызывать негативные эмоции.

strongswan, ipsec… это серьёзные вещи, на мой взгляд, susefirewall так и остался безрадостной попыткой внедрить свой, ни с чем не совместимый стандарт в область, где всё давно и надёжно работает десятилетиями без особых изменений. Максимум, на что он годен-подружить домохозяек с линуксом, за счёт совместимости с графическим интерфейсом Yast. Поднять NAT в 1 галочку и в другую-открыть нужный порт. Для более серьёзных целей, как ваша, я бы посоветовал использовать iptables и не заморачиваться.

Эта “обертка” создана для быстрой настройки. Впрочем, есть и мануал, который никто из вас конечно не читал)) Ссылка нада, или итак умные :wink: