Я использую IPSEC в туннельном режиме.
Как создать правило iptables, которое будет соответствовать только пакетам, поступившим через туннель IPSEC (т. Е. После того, как IPSEC расшифровал их, а не пакетам IPSEC, когда они поступят и до дешифрования).
Дело в том, чтобы иметь определенный порт, который будет доступен только через IPSEC и недоступен для остального мира.
Вам нужно использовать модуль политики и указать ipsecполитику, чтобы соответствовать этому трафику. Следующее правило, например, разрешает весь входящий трафик через tcp порт 12345. Не забывайте, что порядок правил важен iptables, и что вам, возможно, потребуется разрешить пакеты обратной половины, в зависимости от ваших текущих OUTPUTограничений.
iptables -A INPUT -m policy --pol ipsec --dir in -p tcp --dport 12345 -j ACCEPT