两个局点之间建立ipsec隧道进行通信的时候。正常需要对保护的感兴趣流量在nat outbound中进行deny处理，如下这样配置正常能够保护192.168.2.0/23 去往192.168.0.0/16的流量走ipsec隧道。但是如果本端的源地址作为映射后的地址使用，且映射时添加了

万恶的加密

题目描述

解题思路

本题就是考huawei/h3c交换机的密文解密，之前有大佬已经给过一个脚本，直接跑一下，就得到答案

IPSec故障处理

• 引言

获取所有可用区域：

firewall-cmd --get-zones

block–拒绝所有传入的网络连接。仅从系统内部启动的网络连接是可能的。

dmz –经典非军事区（DMZ）区域，它提供对LAN的有限访问，并且仅允许选定的传入端口。

drop –丢弃所有传入网络连接，并且仅允许传出网络连接。

external-对于路由器连接类型很有用。您还需要LAN和WAN接口，以使伪装（NAT）正常工作。

home –适用于您信任其他计算机的局域网内的家用计算机，例如笔记本电脑和台式机。仅允许选择的TCP / IP端口。

第1章  防火墙的介绍

  在Linux 2.4内核中，包过滤模块发生了根本性的变化，完全由内核控制，效率得到了很大的提高。控制内核包过滤的工具，也用iptables取代了 ipchains。在iptables的标准发布中，就带有MAC地址匹配的模块。我们可以通过iptables -m mac 命令来装载它。

iptables是一个命令行工具，通过它可以设置linux防火墙，查看过滤规则等信息，本文将说明如何通过iptable控制mac地址，允许或者丢弃指定的mac地址。