Entiendo que no es posible tener un encabezado de autenticación con un NAT regular, porque se mete con el encabezado IP protegido por AH. ¿Qué hay de proxies? ¿Cambian algo en el paquete?
¿Sería posible usar AH en modo de transporte en un canal IPSec entre proxies?
"Proxy" es un término genérico. Si quiere decir un proxy web , ese tipo normalmente funciona en el nivel de "datos de aplicación": el sistema cliente abre una conexión TCP al proxy y el proxy abre otra conexión al servidor de destino (o siguiente proxy en caso de encadenamiento). El proxy retransmite datos de ida y vuelta, pero sin encabezado de IP Por definición, IPSec se detiene en el proxy. Un proxy web no "modifica" los paquetes, los come completos; y luego puede reenviar el contenido del paquete, volver a ensamblarlo y dividirlo de nuevo, como nuevos paquetes IP no relacionados con los anteriores.
Usted puede usar IPSec para proteger las comunicaciones entre el sistema cliente y el proxy. Puede usar IPSec para proteger las comunicaciones entre dos proxies. Pero IPSec nunca le dará ninguna garantía de que el proxy no haya modificado los datos; solo que no se modificó en tránsito entre el cliente y el proxy y / o entre los dos proxies.
De hecho, los proxies son, por definición , destinados a alterar los datos, por ejemplo. respondiendo a la solicitud ellos mismos con una copia de una respuesta anterior, sin hablar con el servidor real. Esto es por diseño .
Lea otras preguntas en las etiquetas authentication proxy ipsec