ok,I have found my fool error,<br>bacause my DMZ network <a href="http://192.168.1.0/24">192.168.1.0/24</a>,<br>I set racoon.conf<br>mode_cfg {<br>network4 <a href="http://192.168.1.1">192.168.1.1</a><br>}<br><br>so my winxp box started up a virtual interface which ip address is 
<a href="http://192.168.1.1">192.168.1.1</a><br><br>when esp packet arrived at the linux box and unencapsulate the packet ,that is so confusion.bacause my linux box dmz interfaces is <a href="http://192.168.1.1">192.168.1.1
</a><br><br>Now I set mode_cfg {<br>network4 <a href="http://192.168.50.1">192.168.50.1</a><br>}<br><br>than it is correctly work.<br><br>thank all people,particular Matthew,thank you very much and best wishes,<br><br><div>
<span class="gmail_quote">2006/11/28, Matthew Grooms <<a href="mailto:mgrooms@shrew.net">mgrooms@shrew.net</a>>:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Zhao Tongyi wrote:<br>> i have captured the esp packets from my linux box ,so I think iptables<br>> work is fine and not blocked the esp packets,now my  question is I don't<br>> know if ipsec-tools unencapsulation incoming esp packets and forward
<br>> others ethernet card.<br>><br><br>Zhao,<br><br>     One other thing, ipsec-tools does not handle esp processing. It<br>only helps to negotiate crypto keys with a peer on behalf of the kernel.<br>Once the keys are installed, the kernel handles all the ESP/AH/IPCOMP
<br>packet processing including tunnel mode encap/decap based on the<br>information contained in SPD/SAD.<br><br>Thanks,<br><br>-Matthew<br></blockquote></div><br><br clear="all"><br>-- <br>Best regards,<br><br>Tongyi ,Zhao