我知道在Linux内核中都是IPSEC栈,KLIPS比较老,Netkey比较新,但除此之外,我没有发现其他的文档。 我想知道他们之间真正的技术差异。 这里有没有人可以告诉我差异或共享一些文档来源?
任何帮助,将不胜感激。
从shdobxr链接的文章来看,KLIPS和Netkey之间最相关的部分似乎如下:
当应用防火墙(iptables)规则时,KLIPS更容易,因为使用KLIPS,您可以识别IPsec流量,因为此流量通过ipsecX接口。 您可以像将规则应用于其他网络接口(例如eth0)一样将iptables规则应用于这些接口。
使用NETKEY时,应用防火墙(iptables)规则要复杂得多,因为流量不通过ipsecX接口; 一个解决方案可以用iptables(使用setmark iptables规则)在Linux内核中标记数据包。 此标记是内核套接字缓冲区结构(来自Linux内核网络代码的struct sk_buff)的成员; 数据包的解密不会修改该标记。
在2014年的写作,所有的Linux发行版现在应该有一个支持KLIPS和Netkey的内核。