<div dir="ltr">Hi Andreas,<div><br></div><div>Thanks for your inputs.</div><div>I did some testing with leftfirewall, iptables rules and understood the behavior.</div><div><br></div><div>Regards,</div><div>Sarat</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 5, 2016 at 12:31 AM, Andreas Steffen <span dir="ltr"><<a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Sarat,<br>
<br>
leftfirewall=yes installs and removes dynamic IPsec policy<br>
iptables rules guaranteeing that only traffic coming or going<br>
into an IPsec tunne are forwarded.<br>
<br>
Regards<br>
<br>
Andreas<br>
<span class=""><br>
On 04.08.2016 14:00, Sarat Vajrapu wrote:<br>
> Hi Andreas,<br>
><br>
> Thanks for the inputs.<br>
><br>
> I was expecting leftfirewall=yes would take care of adding default<br>
> policies for IKE, ESP and drop traffic.<br>
> From your explanation, I understood that we need to explicitly configure<br>
> iptables. So what does leftfirewall actually do?<br>
><br>
> Regards,<br>
> Sarat Vajrapu<br>
><br>
> On Tue, Aug 2, 2016 at 2:50 PM, Andreas Steffen<br>
</span>> <<a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.<wbr>org</a> <mailto:<a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@<wbr>strongswan.org</a>>><br>
<span class="">> wrote:<br>
><br>
>     Hi Sarat,<br>
><br>
>     leftfirewall=yes is the right way to go. Just set up a<br>
>     general drop policy with iptables, just allowing IKE<br>
>     traffic via UDP ports 500 and 4500 as well as allowing<br>
>     ESP (IP protocol 50). Also make sure that the updown<br>
>     plugin is loaded by the charon daemon.<br>
><br>
>     Best regards<br>
><br>
>     Andreas<br>
><br>
>     On 01.08.2016 09:21, Sarat Vajrapu wrote:<br>
>     > Hi,<br>
>     ><br>
>     > I am trying a lab setup with IPsec between two nodes.<br>
>     > Is there a way where I can send/receive data packets only if ipsec is<br>
>     > UP, else just drop the traffic?<br>
>     ><br>
>     > I tried "leftfirewall" option but it did not help me.<br>
>     > Your inputs are highly appreciated.<br>
>     ><br>
>     > Regards,<br>
>     > Sarat<br>
>     ><br>
>     ><br>
>     > ______________________________<wbr>_________________<br>
>     > Users mailing list<br>
</span>>     > <a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a> <mailto:<a href="mailto:Users@lists.strongswan.org">Users@lists.<wbr>strongswan.org</a>><br>
<span class="">>     > <a href="https://lists.strongswan.org/mailman/listinfo/users" rel="noreferrer" target="_blank">https://lists.strongswan.org/<wbr>mailman/listinfo/users</a><br>
>     ><br>
><br>
>     --<br>
>     ==============================<wbr>==============================<wbr>==========<br>
>     Andreas Steffen<br>
</span>>      <a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a> <mailto:<a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@<wbr>strongswan.org</a>><br>
<span class="">>     strongSwan - the Open Source VPN Solution!<br>
</span>>     <a href="http://www.strongswan.org" rel="noreferrer" target="_blank">www.strongswan.org</a> <<a href="http://www.strongswan.org" rel="noreferrer" target="_blank">http://www.strongswan.org</a>><br>
<div class="HOEnZb"><div class="h5">>     Institute for Internet Technologies and Applications<br>
>     University of Applied Sciences Rapperswil<br>
>     CH-8640 Rapperswil (Switzerland)<br>
>     ==============================<wbr>=============================[<wbr>ITA-HSR]==<br>
><br>
><br>
<br>
--<br>
==============================<wbr>==============================<wbr>==========<br>
Andreas Steffen                         <a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a><br>
strongSwan - the Open Source VPN Solution!          <a href="http://www.strongswan.org" rel="noreferrer" target="_blank">www.strongswan.org</a><br>
Institute for Internet Technologies and Applications<br>
University of Applied Sciences Rapperswil<br>
CH-8640 Rapperswil (Switzerland)<br>
==============================<wbr>=============================[<wbr>ITA-HSR]==<br>
<br>
</div></div></blockquote></div><br></div>