Какой домен я должен использовать для обратного DNS запись PTR?

• Есть ли хорошая межплатформенная поддержка? Это должно работать над Linux, MacOS X и клиентами Windows, серверами Linux, и это не должно требовать дорогого сетевого оборудования.

У меня действительно нет большого опыта с этим, как у меня главным образом есть системы Linux, но я действительно получал его главным образом рабочий на машине Windows 2000 (это было некоторое время назад). Это имело проблему, что IPsec не удалось пересмотреть новый сеансовый ключ после того, как некоторое число байтов было передано (это, как предполагается, происходит автоматически), таким образом, соединение понизилось через некоторое время, и я никогда не мог беспокоиться для рытья в него далее. Это, вероятно, работает намного лучше в наше время.

• Я могу включить IPSec для всей машины (таким образом, не может быть никакого другого транспортного поступления/выхода), или для сетевого интерфейса, или это определяется настройками брандмауэра для отдельных портов/...?

То, как это работает, (или, скорее как мне удалось получить его работа), Вы определяете это, нечто машины должно использовать только IPsec для панели машин, baz, и yow. Любой трафик с и на эти машины теперь безопасен и так защищен, как те машины. Любой другой трафик обычно не является IPsec и работами.

• Я могу легко запретить non-IPSec пакеты IP? И также "злой" трафик IPSec Mallory, который подписывается некоторым ключом, но не нашим? Моя идеальная концепция состоит в том, чтобы лишить возможности иметь любой такой трафик IP в LAN.

Трафик IPsec только позволяется для тех "политик" IPsec, которые Вы определяете, таким образом, любая случайная машина не может отправить, пакет IPsec - там должен существовать политика IPSec, соответствующая тем пакетам.

• Для внутреннего LAN трафика: Я выбрал бы "ESP with authentication (no AH)", AES 256, в "Способе транспортировки". Действительно ли это - разумное решение?

Да. Существует разговор об отказе от AH полностью, потому что это избыточно - можно использовать ESP с ПУСТЫМ шифрованием с тем же эффектом.

• Для Интернет-трафика LAN: Как это работало бы с интернет-шлюзом? Я использовал бы
  • "Режим туннелирования" для создания IPSec туннелирует с каждой машины на шлюз? Или я мог также использовать

Я выбрал бы эту опцию. Поскольку это, я не управляю шлюз сам, и трафик будет не зашифрован вне моей сети так или иначе, таким образом, я не буду действительно видеть срочную необходимость.

Интернет-трафик к хостам, который не использует IPsec, должен быть замечен как возможно прерываемый - существует мало точки в шифровании на локальной LAN, когда Ваш ISP или ISP Вашего ISP могут слушать те же незашифрованные пакеты.

• "Способ транспортировки" к шлюзу? Причина, которую я спрашиваю, что шлюз должен был бы смочь дешифровать пакеты, прибывающие из LAN, таким образом, этому будут нужны ключи, чтобы сделать это. Это возможно, если адрес назначения не является адресом шлюза? Или я должен был бы использовать прокси в этом случае?

Насколько я понимаю это не работает - Вам был бы нужен прокси.

• Есть ли что-либо еще, что я должен рассмотреть?

Посмотрите, можно ли использовать что-то разумное как ключи OpenPGP вместо сертификатов X.509. Я использую X.509, так как это было единственной вещью, поддерживаемой IPsec вводящий демон, которого я сначала использовал, и у меня не было энергии изучить восстановление всего этого. Но я должен, и я буду, когда-нибудь.

P.S. Меня и партнера содержал лекцию по IPsec в 2007, он может помочь для разъяснения некоторых понятий.