Linux 2.6 カーネルでは,2.4 カーネルの FreeS/WAN の IPSec の実装とは異なって,ESP でカプセル化されたパケットが届くネットワークインタフェースと,カプセル化が解かれたパケットが届くインタフェースは同じものにるので,IPSec のチャンネルを通ってきたパケット,を識別しづらくなっています.(2.4 カーネルの FreeS/WAN の場合,カプセル化が解かれたパケットは,専用のインタフェースから届く形になっています.) しかし,フィルタリングする上で,そのパケットが ESP 化されて届いたのかそれとも生の形で届いたのかを識別するのは,時としてとても重要になります. iptables -A FORWARD -m policy --pol ipsec --proto esp --dir in -i $OUT -d $LAN -j ACCEPT といった形になります