Saya memiliki dua host yang mencoba mengatur koneksi IPSec satu sama lain. Untuk ini mereka harus berkomunikasi pada port UDP 500 dan 4500, jadi saya membukanya di firewall di kedua ujungnya (ditunjukkan pada bagian yang relevan):
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m udp -p udp --dport 500 -j ACCEPT
-A INPUT -m udp -p udp --dport 4500 -j ACCEPT
#.....
-A INPUT -j REJECT --reject-with icmp6-port-unreachable
Namun, pertukaran kunci tidak pernah berhasil. Masing-masing pihak terus berusaha untuk mengirim ulang paket UDP berulang kali, tanpa pernah mendengar jawaban, sampai mereka akhirnya menyerah.
Saya mulai tcpdump
dari satu sisi dan mengamati bahwa paket UDP sedang terfragmentasi, dan bahwa port ICMP yang tidak terjangkau dikembalikan setelah fragmen kedua masuk.
Contoh dari pertukaran yang gagal tersebut (disterilkan untuk perlindungan Anda):
04:00:43.311572 IP6 (hlim 51, next-header Fragment (44) payload length: 1240) 2001:db8::be6b:d879 > 2001:db8:f:608::2: frag (0x5efa507c:0|1232) ipsec-nat-t > ipsec-nat-t: NONESP-encap: isakmp 2.0 msgid 00000001 cookie 55fa7f39522011ef->f8259707aad5f995: child_sa ikev2_auth[I]: [|v2e] (len mismatch: isakmp 1596/ip 1220)
04:00:43.311597 IP6 (hlim 51, next-header Fragment (44) payload length: 384) 2001:db8::be6b:d879 > 2001:db8:f:608::2: frag (0x5efa507c:1232|376)
04:00:43.311722 IP6 (hlim 64, next-header ICMPv6 (58) payload length: 432) 2001:db8:f:608::2 > 2001:db8::be6b:d879: [icmp6 sum ok] ICMP6, destination unreachable, length 432, unreachable port[|icmp6]
Firewall mencatat hal-hal berikut sehubungan dengan paket ini:
Aug 26 04:00:43 grummle kernel: iptables: REJECT IN=eth0 OUT= MAC=############### SRC=2001:0db8:0000:0000:0000:0000:be6b:d879 DST=2001:0db8:000f:0608:0000:0000:0000:0002 LEN=424 TC=0 HOPLIMIT=51 FLOWLBL=0 OPT ( FRAG:1232 ID:5efa507c ) PROTO=UDP
Saya mendapat kesan bahwa Linux secara otomatis memasang kembali fragmen sebelum meneruskannya ke packet filter. Jadi mengapa fragmen-fragmen ini tidak dirakit kembali dan karenanya fragmen kedua kemudian ditolak?
iptables -A INPUT -p esp -j ACCEPT