<div dir="ltr">Hi Andreas,<div><br></div><div>Thanks for the inputs.</div><div><br></div><div>I was expecting leftfirewall=yes would take care of adding default policies for IKE, ESP and drop traffic.</div><div>From your explanation, I understood that we need to explicitly configure iptables. So what does leftfirewall actually do? </div><div><br></div><div>Regards,</div><div>Sarat Vajrapu</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 2, 2016 at 2:50 PM, Andreas Steffen <span dir="ltr"><<a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Sarat,<br>
<br>
leftfirewall=yes is the right way to go. Just set up a<br>
general drop policy with iptables, just allowing IKE<br>
traffic via UDP ports 500 and 4500 as well as allowing<br>
ESP (IP protocol 50). Also make sure that the updown<br>
plugin is loaded by the charon daemon.<br>
<br>
Best regards<br>
<br>
Andreas<br>
<div><div class="h5"><br>
On 01.08.2016 09:21, Sarat Vajrapu wrote:<br>
> Hi,<br>
><br>
> I am trying a lab setup with IPsec between two nodes.<br>
> Is there a way where I can send/receive data packets only if ipsec is<br>
> UP, else just drop the traffic?<br>
><br>
> I tried "leftfirewall" option but it did not help me.<br>
> Your inputs are highly appreciated.<br>
><br>
> Regards,<br>
> Sarat<br>
><br>
><br>
</div></div>> _______________________________________________<br>
> Users mailing list<br>
> <a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a><br>
> <a href="https://lists.strongswan.org/mailman/listinfo/users" rel="noreferrer" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a><br>
><br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
======================================================================<br>
Andreas Steffen                         <a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a><br>
strongSwan - the Open Source VPN Solution!          <a href="http://www.strongswan.org" rel="noreferrer" target="_blank">www.strongswan.org</a><br>
Institute for Internet Technologies and Applications<br>
University of Applied Sciences Rapperswil<br>
CH-8640 Rapperswil (Switzerland)<br>
===========================================================[ITA-HSR]==<br>
<br>
</font></span></blockquote></div><br></div>