<div dir="ltr"><div><div><div><div><div><div><div>Hi all,<br><br></div>I'm just learning about ipsec and have been able to setup a host to host tunnel using x509 certificates signed by a dummy CA.<br><br>In some of the documentation I've read I can see an iptables rule to allow AH protocol packets, and after some testing I've become a little confused about AH packets.<br><br></div>For example, when I allow these in iptables and search for them via simple tcpdump command "tcpdump -n -i eth1 ah", I never seem to see them.  Am I missing any option in the command?  I can see lots of esp packets, but ne'er any a drop of ah.<br></div><div><br></div>Another example, if I do not allow ah packets in my iptables, the tunnel still seems to work fine.  Of course, the iptables allows udp 500, 4500 and protocol esp.  I put the iptables -L output at the bottom of this email.<br><br></div>Is ah really required in all scenarios or are there specific circumstances that ah packets  really get used by ipsec?  I noticed in the RHEL 6 Security Guide they say the AH requirement is uncommon, so I wonder if I don't need that rule.<br><br></div>Thanks in advance for any guidance or explanation.<br><br></div>V/r,<br></div>Bryan<br><br><br><br>Chain INPUT (policy DROP)<br>target     prot opt source               destination<br>ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED<br>ACCEPT     icmp --  anywhere             anywhere<br>ACCEPT     esp  --  anywhere             anywhere<br>ACCEPT     all  --  anywhere             anywhere<br>ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh<br>ACCEPT     udp  --  anywhere             anywhere            udp spt:isakmp dpt:isakmp<br>ACCEPT     udp  --  anywhere             anywhere            udp spt:ipsec-nat-t dpt:ipsec-nat-t<br><br>Chain FORWARD (policy DROP)<br>target     prot opt source               destination<br>ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED<br><br>Chain OUTPUT (policy DROP)<br>target     prot opt source               destination<br>ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED<br>ACCEPT     icmp --  anywhere             anywhere<br>ACCEPT     esp  --  anywhere             anywhere<br>ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh<br>ACCEPT     udp  --  anywhere             anywhere            udp spt:isakmp dpt:isakmp<br>ACCEPT     udp  --  anywhere             anywhere            udp spt:ipsec-nat-t dpt:ipsec-nat-t<br></div>