<div dir="ltr"><div><div>I know that IPsec OUT policy is used to determine which egress packets need to be encrypted in "XFRM lookup" box [<a href="http://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg">http://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg</a>].<br>
<br></div>But what is the purpose of IPsec IN policy? I verified with ping and tcpdump that packets were still successfully encrypted and decrypted even If I don't have any IPsec IN policies (see below "ip xfrm" commands that I executed on both hosts. Also, I removed strongSwan from the picture here for clarity).<br>
<div><br>SRC=1.1.1.10; # swap SRC with DST on the peer<br>DST=2.1.1.10;<br><br>KEY1=0xaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<br>KEY2=0xbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb<br>
ID=0x00000001<br><br>ip xfrm state flush; ip xfrm policy flush<br>ip
 xfrm state add src $DST dst $SRC proto esp spi $ID reqid $ID mode 
transport auth sha256 $KEY1 enc aes $KEY2 sel src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst 
<a href="http://0.0.0.0/0">0.0.0.0/0</a><br>ip xfrm state add src $SRC dst $DST proto esp spi $ID reqid
 $ID mode transport auth sha256 $KEY1 enc aes $KEY2 sel src <a href="http://0.0.0.0/0">0.0.0.0/0</a> 
dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>ip xfrm policy add src $SRC dst $DST dir out tmpl src $SRC dst $DST proto esp reqid $ID mode transport</div></div></div>